Firefox : Mozilla corrigera demain une faille critique dans la gestion des certificats

Expiration précipitée 50
En bref
image dediée
Crédits : weerapatkiatdumrong/iStock
Securité
Vincent Hermann

Mozilla travaille actuellement à la résolution d’une faille de sécurité importante dans Firefox. Difficile à exploiter, elle pourrait permettre à des pirates en ayant les moyens de déclencher une attaque de type « homme du milieu » à l’aide d’un faux certificat. Le correctif devrait être disponible demain.

La faille a été repérée la semaine dernière par un chercheur en sécurité, « movrcx ». Son billet concernait avant tout Tor Browser, dont les développeurs ont publié une nouvelle version vendredi. Estampillée 6.0.5, elle colmate la brèche dont les détails ont été fournis dans le même temps à Mozilla. Dangereuse, la vulnérabilité peut être exploitée sur n’importe quelle plateforme, mais pas de manière simple.

Une brèche dans un mécanisme de protection

Même si les détails précis ne sont encore pas tout à fait connus, on dispose des grandes lignes exposées par plusieurs chercheurs et dans le billet de Tor. La brèche permet de contourner le mécanisme dit de « certificate pinning », qui permet normalement aux navigateurs de se prémunir contre les usurpations d’identité, dans le cas où une autorité de certificat aurait été piratée. Quand une première connexion sécurisée s’établit avec un site, celui-ci présente une liste des certificats de confiance. Si lors d’une connexion ultérieure, un certificat est inconnu, elle ne pourra pas s'établir.

Selon le chercheur en sécurité Ryan Duff, la protection mise en place par Firefox ne fonctionne pas dans le cas d’un certificat créé à partir d’une autorité piratée. En temps normal, le navigateur ne devrait pouvoir accepter qu’un certificat correspondant à un domaine ou à un sous-domaine spécifique, en rejetant tous les autres. Malheureusement, un pirate peut exploiter une certaine forme de clé statique qui n’est pas basée sur le protocole HTTP Public Key Pinning (HPKP), Firefox ne gérant pas correctement la date d’expiration des certificats.

Le correctif sera diffusé demain

La faille a été exposée pour la première dans le billet de movrcx mardi dernier. Elle était alors annoncée comme fonctionnant sur toutes les versions de Tor Browser, quelle que soit la plateforme. Les développeurs de ce dernier ont rapidement réagi, publiant vendredi l’annonce, les informations entourant la vulnérabilité et une nouvelle version du navigateur.

Dans la même journée, Mozilla a réagi. L’éditeur a indiqué que la faille résidait bien dans Firefox (qui sert de base technique à Tor Browser), qu’elle avait été inspectée et qu’un correctif serait diffusé le 20 septembre, c’est-à-dire demain. Le mécanisme déficient a en fait été déjà corrigé dans la Developer Edition du navigateur publiée le 4 septembre, mais le problème des dates d’expiration se retrouve aussi dans les versions classiques et ESR (Extended Support Release). En clair, toutes les versions actuelles de Firefox sont concernées.

100 000 dollars pour une exploitation multiplateforme

Dans le cas le plus grave, un pirate pouvait exploiter cette expiration prématurée des certificats pour faire passer un serveur comme faisant partie de ceux alimentant le service de Mozilla pour la distribution des extensions (addons.mozilla.org). L’éditeur a annoncé en conséquence que le protocole HPKP avait été activé sur son serveur, de manière à ce que les utilisateurs restent protégés.

Cependant, un groupe de pirates qui en aurait suffisamment les moyens (techniques et financiers), comme ceux soutenus par les États, pourraient très bien parvenir à leurs fins. Même si la faille n’est pas simple à exploiter, le risque zéro n’existe pas. Selon le découvreur de la faille, un budget de 100 000 dollars serait nécessaire pour utiliser la faille et lancer une attaque multiplateforme, avec à la clé un vol d’informations et/ou une exécution de code arbitraire.

En attendant la mise à jour de Firefox, mieux vaut ne pas l'utiliser

La mesure idéale de protection est donc d’utiliser un autre navigateur jusqu’à demain, quand la nouvelle version de Firefox sera disponible. Si vous utilisez Tor Browser, la récente version 6.0.5 vous protège contre toute exploitation. Si vous n’avez pas encore fait la mise à jour, les développeurs de Tor encouragent à la télécharger le plus rapidement possible.


chargement
Chargement des commentaires...