Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Mozilla stoppe Firefox Send, le temps de renforcer le service contre les malwares

Firefox Send a été lancé en mars 2019 comme service de partage de fichiers. Un fonctionnement simple : on envoie les données à Send (dans la limite de 2,5 Go), qui fournit alors un lien de partage. 

L’utilisateur définit certains paramètres optionnels comme le temps que le fichier peut rester sur les serveurs (de 5 min à 7 jours), l’ajout d’un mot de passe ou un nombre de téléchargements à ne pas dépasser. Les données échangées avec les serveurs sont chiffrées de bout en bout.

Malheureusement pour Mozilla, son Send a été lourdement utilisé par les auteurs de malwares. Le processus est on ne peut plus simple : un logiciel malveillant est stocké dans le service, puis le lien est envoyé par email aux personnes à piéger. Il pouvait s’agir aussi bien de campagnes de phishing que de spear phishing (harponnage), quand l’attaque est personnalisée pour cibler une personne spécifique.

Ransomwares, troyens bancaires, et autres logiciels espions ont été détectés, avec une hausse notable au cours des derniers mois. FIN7, REVil (Sodinokibi), Ursnif (Dreambot) et Zloader font partie des bestioles ainsi repérées.

Selon le chercheur anglais en sécurité Colin Hardy, interrogé par ZDNet, les auteurs de malwares apprécient particulièrement Send pour trois raisons : 

  • Les URL émises par le service ont la confiance de la plupart des infrastructures professionnelles
  • Le service est fiable et permet de ne pas investir dans de l’hébergement de fichier (même si le stockage n’est que temporaire)
  • Les données sont chiffrées, et l’ajout d’un mot de passe permet d’autant plus d’éviter la détection

Alors que la communauté de la cybersécurité demandait surtout l’ajout de boutons pour signaler aussi bien les fichiers que les abus, Mozilla a pris une décision radicale : mettre tout le service en pause.

À ZDNet, un porte-parole de la société a expliqué : « Ces signalements sont profondément inquiétants à de multiples niveaux, et notre organisation agit pour les régler. Nous mettons temporairement Firefox Send hors ligne pendant que nous améliorons le produit ».

Les demandes des chercheurs ont été entendues, mais Mozilla ira plus loin : « Avant de le relancer, nous ajouterons un mécanisme de signalement des abus […], et nous exigerons des utilisateurs voulant partager des contenus via Send de se connecter avec un compte Firefox ».

Il fallait s’attendre à un renforcement de la sécurité, mais la nécessité d’utiliser un compte Firefox vient casser le gros avantage de la solution de Mozilla : sa simplicité. En dépit du nom « Firefox Send », le service n’était en effet pas lié à Firefox et pouvait s’utiliser de n’importe quel navigateur depuis l’adresse send.firefox.com.

L’éditeur n’a fourni aucune date pour le retour de son service.

29 commentaires
Avatar de DanLo Abonné
Avatar de DanLoDanLo- 08/07/20 à 08:54:06

ça fait un peu p*te comme façon de faire, mais si ça pouvait donner un argument de plus pour adopter Firefox plutôt qu'un autre navigateur, la mesure ne me semble pas plus mal. :)

Avatar de Inny Abonné
Avatar de InnyInny- 08/07/20 à 09:16:28

Qui aurait pu imaginer qu'un tel service serait ainsi utilisé. :roll:

Avatar de Pseudooo Abonné
Avatar de PseudoooPseudooo- 08/07/20 à 09:16:52

C'est probablement la meilleure méthode, même si assez radicale. Protéger l'image de marque de Firefox et de Mozilla est certainement plus important que le maintient du service.

Avatar de QTrEIX INpactien
Avatar de QTrEIXQTrEIX- 08/07/20 à 09:24:57

Se créer un compte prends 30 secondes et amène quelques avantages comme la synchronisation entre différents appareils, s'il faut une solution un peu radicale pour régler ce problème et améliorer la sécurité du service, cela ne me dérange personnellement pas.

Firefox Send n'est certes à l'origine, pas lié à l’utilisation de Firefox mais reste un service développé par Mozilla, à l'inverse de Pocket par exemple.

Édité par QTrEIX le 08/07/2020 à 09:25
Avatar de AhLeBatord Abonné
Avatar de AhLeBatordAhLeBatord- 08/07/20 à 09:31:35

Ce qui est fait sur le chiffrement n'est pas vraiment clair.

"Les données échangées avec les serveurs sont chiffrées de bout en bout."

Ok, donc les serveurs ne peuvent pas voir les données. Mais on a détecté certains Malware. Donc soit ce n'est pas chiffré, soit les serveurs ont la clé.

"Les données sont chiffrées, et l’ajout d’un mot de passe permet d’autant plus d’éviter la détection"

Donc en pratique, c'est chiffré uniquement lorsqu'un mot de passe est donné ?

Édité par AhLeBatord le 08/07/2020 à 09:31
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 08/07/20 à 09:32:10

Mais comment font les autres services identiques, qui n'obligent pas à la création d'un compte ?

Avatar de QTrEIX INpactien
Avatar de QTrEIXQTrEIX- 08/07/20 à 09:38:58

Je me trompe peut-être mais d'après ce que je sais et vu, les services de transferts de fichiers à ne pas exiger de comptes ne sont qu'aux nombres de deux, OnionShare mais qui en contre partie, impose l'installation de Tor et Magic Whormhole qui lui par contre, je ne l'ai jamais utilisé, tous les autres que je vois ou vu exigent l'utilisation d'un compte ou l'envoi d'une adresse mail, Firefox Send faisait partie de ses services à ne pas exiger de compte, mais manifestement ça va changer.

Édité par QTrEIX le 08/07/2020 à 09:40
Avatar de Equilibrium Abonné
Avatar de EquilibriumEquilibrium- 08/07/20 à 10:20:04

AhLeBatord a écrit :

Ce qui est fait sur le chiffrement n'est pas vraiment clair.

"Les données échangées avec les serveurs sont chiffrées de bout en bout."

Ok, donc les serveurs ne peuvent pas voir les données. Mais on a détecté certains Malware. Donc soit ce n'est pas chiffré, soit les serveurs ont la clé.

"Les données sont chiffrées, et l’ajout d’un mot de passe permet d’autant plus d’éviter la détection"

Donc en pratique, c'est chiffré uniquement lorsqu'un mot de passe est donné ?
 

Ce sont des éditeurs d'antivirus, des analystes cybersecu et des victimes qui ont remontés l'information, leur chiffrement a fait parfaitement ce pourquoi il existe : chiffrer les fichiers, point barre.

Avatar de Vesna Abonné
Avatar de VesnaVesna- 08/07/20 à 10:21:15

dl.free.fr : pas de compte ou de mot de passe

Avatar de JohnHostfil INpactien
Avatar de JohnHostfilJohnHostfil- 08/07/20 à 10:28:15

Tout est chiffré, la détection de malware n'a pas était faite par directement par les équipes de mozilla mais par remontés d'informations externes (campagne de fishing avec des liens pointants vers le service.)

edit : grillé par Equilibrium

Il n'est plus possible de commenter cette actualité.
Page 1 / 3