Firefox est peut-être un peu à la traine face à Chrome, mais cela ne l’empêche pas d’être utilisé par des millions de personnes à travers le monde. Si c’est votre cas, alors ces quelques lignes risquent de beaucoup vous intéresser car des chercheurs en sécurité ont découvert une nouvelle faille critique touchant la plupart des extensions du navigateur. Une faille très méchante, de surcroît.
Cette fameuse faille ne vise pas directement les extensions, mais plutôt la manière dont elles sont gérées par la butineur de Mozilla. C’est d’ailleurs ce qui la rend aussi dangereuse car elle sera très difficile à corriger.
Comme certains d’entre vous le savent sans doute, il existe sur le marché des milliers d’extensions développées pour Firefox.
Cette faille ne vise pas directement les extensions de Firefox
Elles sont évidemment très différentes les unes des autres. Certaines peuvent enregistrer nos mots de passe, d’autres bloquent les publicités affichées par les sites, d’autres encore sont spécialisées dans le téléchargement de fichiers et de médias.
Mais voilà, le problème c’est que ces extensions ne sont pas suffisamment bien isolées. La faute au XPCOM.
En fouinant, des chercheurs sont donc parvenus à développer une extension capable d’accéder aux fonctions… d’une autre extension. Le pire reste à venir car ils n’ont même pas eu besoin d’aller chercher bien loin ou de mettre les mains dans le cambouis pour parvenir à leurs fins.
C’est évidemment très problématique, et vous allez très vite comprendre pourquoi.
Mozilla analyse scrupuleusement toutes les extensions proposées par les internautes avant de les publier sur sa plateforme. La fondation s’assure qu’elles respectent bien ses recommandations, bien sûr, mais aussi qu’elles ne présentent aucun risque pour les internautes.
Grâce à cette faille structurelle, une personne mal intentionnée peut donc tromper les équipes de validation.
Des milliers d’extensions sont concernées
Les chercheurs à l’origine de cette découverte ont d’ailleurs tenté l’expérience en publiant sur Mozilla Add-Ons une extension sobrement baptisée “Validate This Website”, une extension censée valider un site web. Mais voilà, derrière, ils ont fait en sorte qu’elle puisse se connecter au bloqueur de publicité NoScript pour ouvrir une page web particulière.
L’outil n’a évidemment eu aucune difficulté à passer entre les mailles du filet. Grâce à cette technique, ils auraient très bien pu proposer un plugin capable de télécharger un fichier vérolé sur un serveur spécifique sans que les équipes de la fondation ne se rendent compte de rien.
Nos experts ont ensuite développé un script pour déterminer le nombre d’extensions vulnérables. Sur les 10 plugins les plus populaires, et donc les plus téléchargés, un seul est protégé contre cette faille : AdBlock Plus.
Tous les autres sont vulnérables.
En tout, ce sont donc plusieurs milliers d’extensions qui sont concernées et il faudra attendre que Mozilla change la manière dont les extensions sont gérées par son navigateur pour colmater cette brèche. En attendant, il vaudra mieux éviter d’installer n’importe quoi.