Mozilla travaille actuellement à la résolution d’une faille de sécurité importante dans Firefox. Difficile à exploiter, elle pourrait permettre à des pirates en ayant les moyens de déclencher une attaque de type « homme du milieu » à l’aide d’un faux certificat. Le correctif devrait être disponible demain.
La faille a été repérée la semaine dernière par un chercheur en sécurité, « movrcx ». Son billet concernait avant tout Tor Browser, dont les développeurs ont publié une nouvelle version vendredi. Estampillée 6.0.5, elle colmate la brèche dont les détails ont été fournis dans le même temps à Mozilla. Dangereuse, la vulnérabilité peut être exploitée sur n’importe quelle plateforme, mais pas de manière simple.
Une brèche dans un mécanisme de protection
Même si les détails précis ne sont encore pas tout à fait connus, on dispose des grandes lignes exposées par plusieurs chercheurs et dans le billet de Tor. La brèche permet de contourner le mécanisme dit de « certificate pinning », qui permet normalement aux navigateurs de se prémunir contre les usurpations d’identité, dans le cas où une autorité de certificat aurait été piratée. Quand une première connexion sécurisée s’établit avec un site, celui-ci présente une liste des certificats de confiance. Si lors d’une connexion ultérieure, un certificat est inconnu, elle ne pourra pas s'établir.
Selon le chercheur en sécurité Ryan Duff, la protection mise en place par Firefox ne fonctionne pas dans le cas d’un certificat créé à partir d’une autorité piratée. En temps normal, le navigateur ne devrait pouvoir accepter qu’un certificat correspondant à un domaine ou à un sous-domaine spécifique, en rejetant tous les autres. Malheureusement, un pirate peut exploiter une certaine forme de clé statique qui n’est pas basée sur le protocole HTTP Public Key Pinning (HPKP), Firefox ne gérant pas correctement la date d’expiration des certificats.
Le correctif sera diffusé demain
La faille a été exposée pour la première dans le billet de movrcx mardi dernier. Elle était alors annoncée comme fonctionnant sur toutes les versions de Tor Browser, quelle que soit la plateforme. Les développeurs de ce dernier ont rapidement réagi, publiant vendredi l’annonce, les informations entourant la vulnérabilité et une nouvelle version du navigateur.
Dans la même journée, Mozilla a réagi. L’éditeur a indiqué que la faille résidait bien dans Firefox (qui sert de base technique à Tor Browser), qu’elle avait été inspectée et qu’un correctif serait diffusé le 20 septembre, c’est-à-dire demain. Le mécanisme déficient a en fait été déjà corrigé dans la Developer Edition du navigateur publiée le 4 septembre, mais le problème des dates d’expiration se retrouve aussi dans les versions classiques et ESR (Extended Support Release). En clair, toutes les versions actuelles de Firefox sont concernées.
100 000 dollars pour une exploitation multiplateforme
Dans le cas le plus grave, un pirate pouvait exploiter cette expiration prématurée des certificats pour faire passer un serveur comme faisant partie de ceux alimentant le service de Mozilla pour la distribution des extensions (addons.mozilla.org). L’éditeur a annoncé en conséquence que le protocole HPKP avait été activé sur son serveur, de manière à ce que les utilisateurs restent protégés.
Cependant, un groupe de pirates qui en aurait suffisamment les moyens (techniques et financiers), comme ceux soutenus par les États, pourraient très bien parvenir à leurs fins. Même si la faille n’est pas simple à exploiter, le risque zéro n’existe pas. Selon le découvreur de la faille, un budget de 100 000 dollars serait nécessaire pour utiliser la faille et lancer une attaque multiplateforme, avec à la clé un vol d’informations et/ou une exécution de code arbitraire.
En attendant la mise à jour de Firefox, mieux vaut ne pas l'utiliser
La mesure idéale de protection est donc d’utiliser un autre navigateur jusqu’à demain, quand la nouvelle version de Firefox sera disponible. Si vous utilisez Tor Browser, la récente version 6.0.5 vous protège contre toute exploitation. Si vous n’avez pas encore fait la mise à jour, les développeurs de Tor encouragent à la télécharger le plus rapidement possible.
Commentaires (50)
#1
ça reste une faille difficile a exploiter, qui demande de solides connaissances. Le risque est critique certes, mais l’exploitation tellement difficile avec une correction qui sera effective demain. D’ici là il n’y a objectivement que peu de risque de se faire exploiter, si j’ose dire, en utilisant FF encore ou Tor d’ici demain.
#2
l’attaque de type “homme du milieu” ça fait penser à un mec en costard rayé et borsalino qui braque les internautes avec un gros flingue.
#3
#4
C’est plutôt le mec en salopette et casque qui grimpe au piquet de la ligne de téléphone pour aller brancher son appareil pour écouter les conversations du voisin
" />
#5
Quand il ne fait qu’écouter !
Mais s’il a des talents d’imitateur, il peut modifier ce que dit l’interlocuteur.
#6
“Ne plus utiliser Firefox jusqu’à demain”
Paranoland
#7
Correctif dispo demain. Et dans une semaine sur ma Debian Stretch.
" />
#8
Une femme en tailleur plutôt
" />
(dans les schémas de crypto, “l’homme du milieu” voulant écouter la conversation entre Alice et Bob s’appelle en général Mallory)
#9
#10
Bonne question. A priori le M de “middle”
#11
Passe en stable + backports. :-p
#12
C’est ce j’allais dire combien temps avant que les distribution soit patché
#13
#14
#15
#16
Firefox the best !!!
" />
#17
#18
#19
Mouais, la dernière fois que j’ai vanté Firefox ici on m’a bien stipulé qu’il était à la ramasse niveau sécurité. Je me suis renseigné. Bah ça m’a attristé mais c’est la vérité. Ce n’est plus ce que c’était. Même Chrome est plus secure et très vite corrigé contrairement à FF qui attend et fait un pack de patchs.
" />
#20
Salut,
Je crois qu’il y a une petite confusion dans l’article, à moins que je suis déjà trop endormie.
Le bug ne se situe pas dans l’implémentation de HPKP, qui fonctionne plutôt bien, mais dans la signature des modules complémentaires.
Le processus de téléchargement des modules complémentaires n’utilisaient pas le même dispositif d’épinglage de certificat que le reste de Firefox. C’est ce dispositif qui est troué, il ne vérifie pas le certificat si celui-ci provient d’une autorité de certification reconnue, ce qui peut être un problème si un attaquant obtient un certificat valide pour addons.mozilla.org.
#21
Pour moi c’est normal comme je pense Mozilla et Chrome ne ne joues pas dans la même cour. Pour moi je vois les choses comme cela :
Mozilla doit se débrouiller comme par exemple des dons qui reçoivent pour le financement.
Alors que tu vois Chrome à coté chrome a le soutien financier, la publicité que t’apporte Google c’est sur qu’il sera toujours niveau sécurité meilleur que Mozilla. Vu l’énorme différence de budget entre les 2.
Mais niveau vie privé je préfère largement Mozilla.
#22
Disons que niveau vie privée lors des derniers contest de hacking Mozilla a carrément été refusé par les hackers à cause de sa trop grande simplicité à trouver des failles… Donc ça laisse perplexe…
" />
#23
un lien?
#24
http://www.tomshardware.com/news/pwn2own-2016-firefox-missing-in-action,31451.htm
" />
http://www.ghacks.net/2016/03/20/pwn2own-2016-windows-os-x-chrome-edge-safari-ha…
https://it.slashdot.org/story/16/02/12/034206/pwn2own-2016-wont-attack-firefox-b…
#25
http://mobile.eweek.com/security/pwn2own-hacking-contest-returns-as-joint-hpe-trend-micro-effort.html
#26
Surtout que beaucoup de fonctionnalités de sécurité de Firefox utilisent des serveurs google pour fonctionner. Par contre, je trouve que Mozilla est plutot rapide pour corriger les failles de Firefox.
Vivement la sortie du navigateur avec Servo.
#27
Intéressant. Ça ne m’empêchera néanmoins pas de continuer d’utiliser firefox, irremplaçable pour l’instant par sa customisation, ses add-ons et le reste qui me convient. Et puis est-il autant une passoire après qu’on lui ait ajouté NoScript et µBlock origin?
Bref pas assez parano pour passez à Chrome juste pour ça.
#28
Firefox 49 vient de sortir, il est dans les miroirs de Mozilla ;)
#29
Si un addon parvient à ajouter de la sécurité… J’imagine pas ce qu’un addon peut réellement causer comme dommages à l’application hôte.
#30
merci de l’info
Par contre pour ceux qui hésitent avec chrome, je pense qu’il vaut mieux utiliser chromium (sécurité de chrome sans la télémétrie google)
#31
demain on rase gratis
#32
Et pour la version Firefox ESR ça sera déployé en mode urgence ou il va falloir attendre ? Au boulot je suis bloqué sur cette version …
#33
Les critiques sur la sécurité de Firefox porte sur son absences de bac à sable que possèdent tous ses concurrents. Si le navigateur a une faille dans certaines fonctionnalités, il n’a pas de deuxième pour en limiter la portée. Le bac à sable fournit cette deuxième ligne de défense. Quand on sait que le navigateur ressemble de plus en plus à un OS, c’est un défaut de plus en plus important pour Firefox (dont je suis l’utilisateur).
Un des efforts de bord du projet electrolysis et qu’il va permettre la mise en place de cette fonctionnalité.
C’est assez avancé dans la version Linux de Firefox:https://bugzilla.mozilla.org/show_bug.cgi?id=742434#c24
#34
Je pense avoir compris la même chose, entre autre en suivant les liens de l’article.
La faille me semble ne toucher que les addons et pas les certificats vers les sites WEB “normaux”.
Cependant, cela reste une faille importante si l’on peut remplacer un addon légitime par un autre maléfique qui peut faire plein de choses.
#35
#36
La version ESR (45.4.0) devrait avoir la correction, le fait que cela soit une version mineur (la quatrième) n’oblige pas les services informatiques à réauditer Firefox (sûrement juste quelques tests de routine, mais pas la grande batterie). Audit accéléré par le fait qu’il a une faille critique.
Plus d’info :
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox-esr/
http://www.ssi.gouv.fr/entreprise/guide/recommandations-pour-le-deploiement-secu…
http://www.ssi.gouv.fr/uploads/2015/01/NP_NavigateurSecurise_FireFox_1-1.pdf#sec…
http://www.ssi.gouv.fr/uploads/2015/01/NP_NavigateurSecurise_FireFox_1-1.pdf#sub…
#37
J’entends bien. Après, e10s ne sera pas l’équivalent des onglets sandboxé de chrome ou edge. Chaque navigateur fait sa petite sauce au niveau de ce qui est sandboxé ou pas et comment.
" />
Cette section wikipedia parle de sandboxage dans firefox. Et en détails sur le wiki sur e10s.
Mais toujours pas activé chez moi du fait de certains add-ons qui ne sont pas entièrement ou pas du tout fonctionnel avec e10s. Plus qu’à prier pour qu’ils soient mis à jour. Cette histoire demande beaucoup de temps et d’énergie aux dev de modules qui ont autres choses à foutre que de revoir leur code tous les 4 matins parce que Mozilla chamboule tout. Je comprends que certains modules vont disparaitre à cause de ça et pas forcement remplacés
#38
Mais il y a une solution: interdire les modules sur les navigateurs. Bin ce sera sans moi, trop accroc aux fonctionnalités et commodités que ça m’apporte dans mon expérience web.
#39
Bon c’est fini de raconter des conneries ?
Firefox n’a pas été sélectionné pour le pwn2own 2016 car il n’a pas eu d’évolution significative au niveau sécurité entre la précédente édition du concours et celle de 2016…
Ils n’allaient pas attaquer les même failles ? ça ne répond pas au besoin du concours !
Pour l’édition 2015 Firefox s’en était bien sorti devant IE 11 et à peine derrière Safari et Chrome…
#40
#41
#42
Il y a une alternative à Chrome si tu cherches de la personnalisation, à savoir Vivaldi.
Il est aussi basé sur Chromium, mais toute la surcouche est différente, il est très paramétrable et personnalisable, et peut accueillir les add-ons de Chrome.
La seule chose qui peut en rebuter certains, c’est qu’il n’est pas libre, juste open source (sources chromium, modifs publiées sous licence BSD, et IHM en langage web entièrement lisible).
#43
Faut reconnaitre que nu, Vivaldi étale la concurrence. Mais pourrais-je me passer de mes modules favoris de firefox, telle est la question. Je testerai quand firefox me sortira par les trous de nez c’est à dire quand mozilla aura détruit tout ce qui faisait sa force, les modules et les innovations. Il sont en route.
#44
Tu citais µBlock Origin et il est bien présent sur Chrome/Vivaldi (c’est le seul addon que j’utilise avec un détecteur de flux RSS). NoScript je ne sais pas.
Mais oui, d’abord vérifie si t’y trouves ton bonheur, ça ne sert à rien si ça ne répond pas à tes attentes.
Le catalogue d’addons de Chrome est là :https://chrome.google.com/webstore/category/extensions?hl=fr
#45
#46
#47
Oui pour le fond de la classe, mais le Ricard en est pour quelque chose.
#48
Tiens au fait … on peut enfin télécharger la v49 …
#49
C’est faux, lis ta propre source.
One change in the 2016 event is that the Mozilla Firefox Web browser is no longer part of the contest.
“We wanted to focus on the browsers that have made serious security improvements in the last year,” Gorenc said.
#50
Justement, comme ils n’ont apporté aucune modification majeure sur la sécurité ils ont estimé qu’il était trop facile à hacker par rapport à Chrome ou autre.
" />