Discussion :

[Olivier Famien]

Mozilla a supprimé près de 200 extensions malveillantes Firefox de sa plateforme au cours des deux dernières semaines,
plusieurs d’entre elles exécutaient du code distant et d’autres collectaient les données des utilisateurs

Lorsque l’on utilise les navigateurs, une des fonctionnalités fortement appréciées par les utilisateurs est la possibilité d’ajouter des extensions aux navigateurs (addons en anglais). Comme son nom l’indique, les extensions ou modules complémentaires permettent d’étendre les fonctionnalités de base des navigateurs afin d’offrir aux utilisateurs une expérience Web personnalisée. Si votre navigateur n’intègre pas une fonctionnalité, il suffit de faire un tour sur le magasin en ligne du navigateur et installer la fonctionnalité manquante en récupérant l’extension appropriée.

Mais il n’y a pas que les utilisateurs qui apprécient ces extensions. En effet, vu le fort intérêt accordé à ces extensions par les utilisateurs, elles constituent pour les pirates un vecteur d’infection privilégié. Durant les deux semaines passées, l’équipe de Mozilla a découvert près de 200 extensions (197 pour être plus précis) exécutant du code malveillant pour voler des données ou obscurcir leur fonctionnement pour masquer leurs méfaits.

Selon Mozilla, les extensions développées pour son navigateur doivent respecter des lignes directrices strictes et répondre à des exigences techniques pour ne pas compromettre la sécurité du navigateur. Entre autres, elles :

• ne doivent pas contenir du code obscurci ;
• doivent être autonomes et ne pas charger de code distant pour l’exécution ;
• ne doivent pas charger ou rediriger vers une nouvelle page à onglet distante. La nouvelle page à onglet doit être contenue dans le module complémentaire ;
• doivent utiliser des canaux cryptés pour envoyer des données utilisateur sensibles ;
• ne doivent pas avoir un impact négatif sur les performances ou la stabilité de Firefox ;
• doivent être écrites d’une manière qui soit révisable et compréhensible. Les réviseurs peuvent vous demander de remanier certaines parties du code s’il n’est pas révisable.

Mais plusieurs extensions analysées par l’équipe de révision de Mozilla au cours des deux semaines dernières ont montré que ces modules ne respectaient pas ces exigences citées. La grande majorité des extensions malveillantes qui a été découverte a été développée par 2Ring, un fournisseur de logiciel B2B. Les extensions téléchargeaient et exécutaient du code à partir d’un serveur distant. Elles ont été bloquées conformément à la politique de Mozilla. Six autres extensions développées par Tamo Junto Caixa ont été bloquées car elles présentaient les mêmes caractéristiques malveillantes que celles de 2Ring. Et un module complémentaire nommé FromDocToPDF a été supprimé parce qu’il chargeait du contenu distant dans la nouvelle page à onglet de Firefox.

En plus de ces modules malveillants, l’équipe de sécurité de Mozilla a bloqué un lot de quatorze extensions (des lots de neuf, trois et deux modules développés par différentes personnes) utilisant du code obscurci. Trois modules complémentaires considérés comme de faux produits premium ont également été bannis. Et 30 extensions ont également été interdites, car elles présentaient des comportements malveillants sur des sites Web tiers.

Deux extensions ont été supprimées, car elles enfreignaient les politiques des modules complémentaires de Mozilla en chargeant du contenu distant dans la nouvelle page à onglet. Un module nommé Fake Youtube Downloader a été supprimé, car il tentait d’installer d’autres logiciels malveillants. En outre, les extensions comme EasySearch, EasyZipTab, FlixTab, ConvertToPDF, et FlixTab Search ont toutes été exclues de la plateforme de Mozilla, car elles collectaient ou interceptaient les termes de recherche des utilisateurs. Les extensions WeatherPool and Your Social, PDFviewer-tools, RoliTrade et Rolimons Plus ont aussi été interdites à cause de la collecte illégale des données des utilisateurs qu’elles effectuaient. D’autres modules dont les noms n’ont pas été exposés ont également été supprimés toujours à cause du caractère malveillant détecté.

Par ailleurs, en plus d’avoir supprimé les extensions malveillantes récemment découvertes sur sa plateforme, Mozilla a également désactivé ces extensions dans les navigateurs des utilisateurs qui les ont déjà installés. Sur la plateforme Bugzilla, l’équipe de sécurité du navigateur a reporté les ID des modules complémentaires bloqués ou supprimés de sorte que les développeurs de modules complémentaires puissent faire appel de l’interdiction après avoir supprimé le comportement malveillant. L’extension*Like4Like.org,*qui avait été aussi bloquée à cause de la collecte ou de la soumission des informations d’identification ou des jetons de sites Web de médias sociaux à un autre site Web qu’on lui reprochait, a réussi le processus d’appel et est à nouveau disponible sur la plateforme dédiée aux extensions de Firefox.

Bien que l’équipe de sécurité de Firefox ait abattu un travail colossal pour analyser tous les cas de signalements et supprimer ces extensions malveillantes, certains utilisateurs se demandent si Firefox est toujours plus sûr que les navigateurs Internet Explorer ou Edge legacy de Microsoft, sinon comment expliquer qu’un aussi grand nombre d’extensions aient réussi à passer le processus de vérification pour sévir auprès les utilisateurs.

Source : Mozilla addon security updates, Bugzilla (129 extensions, 30 extensions, 9 modules)

Et vous ?

Comment réagissez-vous face à toutes ces extensions exécutant du code malveillant qui ont été découvertes sur Firefox ? De quoi remettre en cause la sécurité sur Firefox ?

Ou pensez-vous que cela démontre que la sécurité est toujours assurée sur le navigateur ?

Voir aussi

Les extensions contenant du code masqué seront désormais interdites sur Firefox, d’après une Maj des conditions d’utilisation destinée aux développeurs
Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs de façon malicieuse
Les extensions Firefox ne peuvent plus être utilisées en raison d’un certificat qui n’est plus valable, Mozilla s’emploie à résoudre ce problème
Sécurité : Firefox victime de ses extensions, Mozilla reconnaît avoir échoué à détecter des malwares dans les add-ons officiels du navigateur
Firefox : Mozilla lance l’extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation

[phil995511]

Et ils veulent que l'on adopte des extensions pour leur navigateur alors qu'ils ne sont pas capables de nous assurer qu'elles sont secures !?

[Astraya]

Et ils veulent que l'on adopte des extensions pour leur navigateur alors qu'ils ne sont pas capables de nous assurer qu'elles sont secures !?

🤖Chrome fan boy detected 🤖

[Steinvikel]

Comment réagissez-vous face à toutes ces extensions exécutant du code malveillant qui ont été découvertes sur Firefox ? De quoi remettre en cause la sécurité sur Firefox ?
A ma connaissance, safari, Google Chrome, Mozilla Firefox... font tous face au même problème :
ils n'ont pas les ressources nécessaires pour vérifier chaque add-on. Il n'est donc techniquement pas possible de certifier que l'ensemble du catalogue est "secure" ...en revanche, rien ne les empêche de "certifier/approuver" celles qui l'ont été, et de placer les autres sous un fond rouge avec un pop-up d'avertissement.

Ou pensez-vous que cela démontre que la sécurité est toujours assurée sur le navigateur ?
Là, on est face à un paradoxe. De base, tous ces navigateurs sont "user-friendly" et pas orienté sécurité, sinon, un bon panel de fonctionnalités seraient natives et plus poussées.
Dans cet état, un navigateur "sécurisé" (au sens large) nécessite quelques add-on pour certains comportements (ex: bloqueur de script, randomiser l'user-agent, personnaliser les filtres statiques et dynamiques à la volée, etc.).
Or, le navigateur le moins sujet aux failles énoncé par l'article, est un navigateur sans add-on !

PS: Mozilla Firofox est-il entièrement open-source ? ...ou bien partiellement comme Google Chrome ?

[BugFactory]

PS: Mozilla Firofox est-il entièrement open-source ? ...ou bien partiellement comme Google Chrome ?

Presque entièrement. Le code source de Firefox est entièrement libre, mais le nom Firefox et le logo sont des marques déposées. Il est possible (je ne suis pas sûr) que les versions IOS et Windows de Firefox utilisent des librairies non libres. C'est ce qui a mené à la création d'IceCat et Iceweasel, des forks entièrement libres mais ne tournant à ma connaissance que sous Linux.

[Steinvikel]

merci pour ces précisions !

[sevyc64]

ils n'ont pas les ressources nécessaires pour vérifier chaque add-on. Il n'est donc techniquement pas possible de certifier que l'ensemble du catalogue est "secure" ..

Le problème est aussi, et c'est similaire sur les stores des appli mobile, que les add-on sont analysés profondément à la première soumission, mais ensuite, les maj ne sont pas forcément analysées aussi précisément. C'est souvent fait par de la comparaison de code automatique.

Ainsi, une application peut être soumise saine, puis du code malveillant bien conçu pour passer sous les radars peut être poussé ensuite par une maj de l'application.