IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Analyste
    Inscrit en
    juillet 2013
    Messages
    2 428
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Analyste
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 428
    Points : 76 754
    Points
    76 754
    Billets dans le blog
    2
    Par défaut Firefox : des millions d’utilisateurs exposés à une nouvelle classe d’attaques
    Firefox : des millions d’utilisateurs exposés à une nouvelle classe d’attaques
    Qui exploitent les extensions les plus populaires du navigateur de Mozilla

    Si la plupart des principaux navigateurs web supportent les modules extensions, les architectures d’extension peuvent, quant à elles, être différentes d’un navigateur à l’autre. Pour les navigateurs web les plus populaires, celles-ci ont plusieurs fois été étudiées par la communauté de la recherche. Toutefois, l’impact sur la sécurité des interactions entre les différentes extensions installées sur un système donné a reçu relativement peu d’attention de la part des chercheurs. Une équipe de chercheurs s’est donc intéressée au cas de Firefox qui présente une certaine particularité. Contrairement à de nombreux navigateurs, l’architecture d’extension du navigateur de Mozilla se caractérise en effet par un manque d’isolement entre les extensions traditionnelles.

    Par conception, Firefox permet à toutes les extensions JavaScript installées sur un système de partager le même espace de noms JavaScript. L’espace de noms est un conteneur numérique d’identifiants, de fonctions ou méthodes spécifiques. Le partage de l’espace de noms permet aux extensions de lire et écrire des variables globales définies par d’autres extensions, d’appeler ou remplacer d’autres fonctions globales, ou encore modifier des objets instanciés, expliquent les chercheurs. Cela peut donc exposer les utilisateurs de Firefox à de réels dangers.

    Dans un article présenté à la conférence Black Hat la semaine dernière à Singapour, les chercheurs ont montré que ce manque d’isolement peut permettre à des attaquants d’exploiter les capacités des extensions les plus populaires de Firefox pour lancer des attaques. Ces vulnérabilités qu’ils appellent vulnérabilités de réutilisation d’extension permettent à une extension développée par un attaquant de cacher son comportement malveillant en utilisant les fonctionnalités d’autres extensions légitimes et approuvées par Mozilla.

    « Ces vulnérabilités permettent à une extension apparemment inoffensive de réutiliser des fonctionnalités de sécurité critiques fournies par d'autres extensions bienveillantes légitimes pour lancer furtivement des attaques », expliquent les chercheurs. « Les extensions malveillantes qui utilisent cette technique seraient beaucoup plus difficiles à détecter par les techniques d’analyse statiques ou dynamiques actuelles, ou les procédures de vérification des extensions », ont-ils précisé.

    Pour réussir son attaque, un acteur malveillant aura toutefois quelques étapes à franchir. Il faut avant tout que son extension malveillante puisse être installée par un utilisateur. Ensuite, il faudrait qu’il y ait, sur l’ordinateur qui télécharge l’extension malveillante, assez d’extensions dont les capacités pourraient être exploitées par l’attaquant pour atteindre son objectif. Malheureusement, la multitude d’add-ons exploitables offre plus de chances à l’attaquant de réussir son coup. Il faut par exemple noter que sur les 10 extensions de Firefox les plus populaires, seul Abdblock Plus ne présente aucune vulnérabilité qui peut être exploitée. Il faut donc préciser que les chercheurs ont trouvé dans les extensions telles que NoScript, Video DownloadHelper, Firebug, Greasemonkey, et Flash Video Downloader, des bogues qui ont permis à l’add-on malicieux d’exécuter du code malveillant.

    Vulnérabilités chez les 10 extensions Firefox les plus populaires


    Ces extensions, ainsi que de nombreuses autres dans un échantillon de 2000 analysé par les chercheurs, ont permis de voler des cookies de navigateur, contrôler ou accéder au système de fichiers d’un ordinateur, ou ouvrir des pages web vers des sites de choix de l’attaquant. Dans une proof of concept, les chercheurs ont développé une extension qui a passé l'analyse automatisée de Mozilla et son processus d’examen complet. Celle-ci a fait un appel cross-extension à NoScript pour ouvrir via Firefox une page web choisie par les chercheurs.

    Ce qui rend cette nouvelle menace plus sérieuse, c’est que dans de nombreux cas, une seule extension contient toutes les fonctionnalités dont une extension malveillante a besoin pour amener un ordinateur à ouvrir un site web malveillant. Dans cette nouvelle classe d’attaques, l’extension malicieuse pourrait aussi exploiter une extension tierce pour télécharger un fichier malveillant et exploiter une deuxième extension tierce pour exécuter le fichier malveillant, comme vous pouvez le voir à travers le schéma suivant.


    Les chercheurs notent que « bien qu’il soit possible de combiner plusieurs vulnérabilités de réutilisation d’extensions de cette manière pour concevoir des attaques complexes, il est souvent suffisant d’utiliser une seule vulnérabilité pour lancer avec succès des attaques nuisibles, ce qui rend cette attaque pratique même quand un très petit nombre d’extensions sont installées sur un système ». Ils expliquent par exemple qu’un attaquant « peut simplement rediriger un utilisateur qui visite une certaine URL vers un site de phishing ou automatiquement charger une page web contenant un exploit drive-by-download. »

    Si les extensions développées pour exploiter les vulnérabilités de réutilisation d’extension sont difficiles à détecter par les techniques standards, les chercheurs ont développé un outil qui permet de détecter celles qui contiennent des vulnérabilités de réutilisation.

    Du côté de Mozilla, la nouvelle menace n’est pas ignorée et des solutions sont déjà envisagées. « La façon dont les extensions sont mises en œuvre aujourd’hui dans Firefox permet le scénario présenté au Black Hat Asie. La méthode décrite repose sur un add-on populaire vulnérable qui est installé, puis sur le fait que l’add-on qui profite de cette vulnérabilité est également installé », explique le vice-président Produit de Firefox, dans un email. « Parce que les risques comme celui-ci existent, nous sommes en train de faire évoluer à la fois notre produit de base et notre plateforme d’extensions pour bâtir une plus grande sécurité. Les nouvelles API d’extensions de navigateur qui composent WebExtensions, qui sont disponibles dans Firefox aujourd'hui, sont intrinsèquement plus sures que les add-ons traditionnels, et ne sont pas vulnérables à l'attaque particulière exposée dans la présentation au Black Hat Asie ». Le vice-président Produit de Firefox termine en rassurant les utilisateurs : « dans le cadre de notre projet visant à introduire l'architecture multiprocessus dans Firefox plus tard cette année, nous allons commencer à isoler les extensions Firefox de sorte qu’elles ne puissent pas partager de code ».

    Rapport des chercheurs
    Source

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Forum Sécurité
    Forum Firefox
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Inscrit en
    septembre 2008
    Messages
    68
    Détails du profil
    Informations forums :
    Inscription : septembre 2008
    Messages : 68
    Points : 166
    Points
    166
    Par défaut
    Je n'ai pas bien compris où est le problème ...
    Il me parait normal qu'une extension puisse utiliser les fonctionnalités d'une autre extension ...
    C'est même plutôt bien, créer une extension pour faire des groupes d'onglets et qu'une autre extension réutilise cette fonctionnalité pour faire du tri dans tes onglets par exemple. ...
    Encore une fois, il faut faire attention à ce qu'on installe, comme partout ...

  3. #3
    Membre éprouvé
    Homme Profil pro
    chomeur
    Inscrit en
    avril 2015
    Messages
    606
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : France, Seine Maritime (Haute Normandie)

    Informations professionnelles :
    Activité : chomeur
    Secteur : Distribution

    Informations forums :
    Inscription : avril 2015
    Messages : 606
    Points : 1 252
    Points
    1 252
    Par défaut
    si on installe une extension qui modifie une autre extension afin d'ouvrir des pages malicieuses c'est un peut bête autant qu'elle le fasse directement. Ce qui peut faire peur c'est plus le fait que des extension dans ce genre soient validé par mozilla

    quand a l’accès au système de fichier je reste septique car la on parle de corruption du navigateur une preuve de la faisabilité serait la bienvenue.
    Plus vite encore plus vite toujours plus vite.

  4. #4
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    5 164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 5 164
    Points : 9 921
    Points
    9 921
    Par défaut
    Oui en fait le titre est plus alarmiste que le danger réel. Enfin comme dit plus haut, si cela peut rappeler une fois de plus qu'il faut faire attention aux sources que l'on installe sur son pc...

    Et bonne réaction de Mozilla qui va renforcer la sécurité sur les deux fronts : code interne et plateforme d'extension.

  5. #5
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    4 219
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 4 219
    Points : 12 924
    Points
    12 924
    Par défaut
    Citation Envoyé par melka one Voir le message
    si on installe une extension qui modifie une autre extension afin d'ouvrir des pages malicieuses c'est un peut bête autant qu'elle le fasse directement. Ce qui peut faire peur c'est plus le fait que des extension dans ce genre soient validé par mozilla

    quand a l’accès au système de fichier je reste septique car la on parle de corruption du navigateur une preuve de la faisabilité serait la bienvenue.
    En fait le problème vient du fait que ça permet de contourner les systèmes de détection d'extension malicieuses que Mozilla utilise avant d'accepter de signer une extension. En effet l'extension malicieuse ne parait rien faire de dangereux à première vue. Elle s'appuie sur une autre extension pourtant normale pour commettre son méfait.

    Bref, c'est surtout une confirmation que le système de signature d'extension de Mozilla ne garantit absolument pas qu'une extension est sure a priori, il permet juste d'interdire une extension malicieuse a postériori.

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 040
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 040
    Points : 998
    Points
    998
    Par défaut
    Oui en fait le titre est plus alarmiste que le danger réel. Enfin comme dit plus haut, si cela peut rappeler une fois de plus qu'il faut faire attention aux sources que l'on installe sur son pc...
    J'ai du mal a comprendre sur une voiture il suffit de pas etre trop près de la voiture de devant pour ne pas avoir à rentrer dedant.
    Tout le monde n'est pas schumarer c'est pour cela qu'il y a eu les freins puis les freins à tambour suivi des freins a disque avec abs et maintenant l'aide au freinage par l informatique. ce que je veux dire par la c'est que ce n'est pas à l'utilisateur novice de se protéger mais aux fabriquants de programmes.

  7. #7
    Membre habitué
    Inscrit en
    septembre 2008
    Messages
    68
    Détails du profil
    Informations forums :
    Inscription : septembre 2008
    Messages : 68
    Points : 166
    Points
    166
    Par défaut
    ce que je veux dire par la c'est que ce n'est pas à l'utilisateur novice de se protéger mais aux fabriquants de programmes
    Si tu as un crochet de remorque à ta voiture, c'est à toi de faire attention à ne pas mettre une caravane démesurée qui pourrait par exemple empêcher ta voiture de bien freiner ou emporter ta voiture dans un virage ...
    Tu peux consulter les avis de la communauté ou expert qui seront plus à même de te répondre si le constructeur de la caravane met assez de documentation pour pouvoir étudier la question ( cf : code source ouvert )

  8. #8
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    5 164
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 5 164
    Points : 9 921
    Points
    9 921
    Par défaut
    Citation Envoyé par cbleas Voir le message
    ce que je veux dire par la c'est que ce n'est pas à l'utilisateur novice de se protéger mais aux fabriquants de programmes.
    Citation Envoyé par cbleas Voir le message
    J'ai du mal a comprendre sur une voiture il suffit de pas etre trop près de la voiture de devant pour ne pas avoir à rentrer dedant.
    C'est contradictoire puisqu'en premier tu dis que l'utilisateur "doit pouvoir faire n'importe quoi sans danger" et de l'autre "qu'il faut respecter ses distances".

    En informatique "respecter ses distances" c'est ne pas télécharger n'importe quoi, de même que tu ne cliques pas sur un mail qui te demande tes coordonnées bancaires ou qui t'invite à télécharger n'importe quel programme, etc.

    L'information ici est que certains programmes malicieux peuvent être néanmoins présents sur le site officiel, mais c'est quand même assez facile de s'en protéger, renseignes-toi un peu avant sur les avis des utilisateurs par exemple.

    Après même en prenant des précautions on n'est jamais à l'abri de tout.

    C'est pour cela qu'il est important de faire régulièrement des sauvegardes complètes du système (pas compter uniquement sur le système de restauration windows) et aussi ne jamais mettre ses données sur le même disque que le disque système pour pouvoir le restaurer/écraser séparément. C'est la base de la sécurité et devrait être enseigné au premier niveau de l'apprentissage informatique

  9. #9
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2013
    Messages
    342
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2013
    Messages : 342
    Points : 491
    Points
    491
    Par défaut
    Salut

    Depuis les débuts de Firefox, on évoque les possibles risques de l'utilisation des extensions, donc rien de vraiment nouveau...

    Le plus ennuyant pour la suite, ça sera moins de liberté d'utilisation (et avoir des extensions compatibles avec d'autres navigateurs... dont pour Chrome...)... et cela ne voudra pas pour autant dire sécurité à 100 %...

    Tout à fait d'accord avec la dernière phrase d'Uther.

    D'ailleurs, j'ai 2 extensions qui ne sont pas signées, mais comme elles n'ont plus de mises à jour... le seul risque possible, c'est une incompatibilité avec Firefox, aucun risque d'infection par mise à jour. Bien sur avec le futur de Firefox "programmé", elles deviendront inutilisables...

Discussions similaires

  1. Regrouper des variables dans une nouvelle classe
    Par saraharas dans le forum SAS Base
    Réponses: 2
    Dernier message: 13/06/2011, 15h27
  2. [eZ Publish] création d'une nouvelle classe
    Par easyjava dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 18/12/2007, 08h28
  3. Réponses: 3
    Dernier message: 30/03/2007, 11h28
  4. Réponses: 18
    Dernier message: 06/11/2006, 21h32
  5. [FLASH MX2004] Faire un array d'une nouvelle class
    Par fransouik dans le forum Flash
    Réponses: 9
    Dernier message: 27/12/2004, 17h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo