Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 432
    Points
    148 432
    Par défaut Firefox victime d'une faille de sécurité ouverte par Windows Update
    Firefox victime d'une faille de sécurité ouverte par Windows Update
    Un plug-in pour .NET est incriminé

    Le scandale n'est pas loin.

    En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.

    A tel point que Firefox l'a bloqué :





    Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.

    Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.

    Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.

    Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.

    De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?

    Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.

    Sources :

    Le billet du Security & Research Defense et les deux correctifs de Microsoft.

    Lire aussi :

    Les rubriques Sécurité, Développement Web et .NET de Développez.com

    Firefox : la page de détection des plug-ins périmés officiellement lancée
    Les concurrents de Microsoft pensent qu'il utilisera Windows Update pour tenter de favoriser Internet Explorer

    Et vous ? :

    Pensez-vous que Microsoft a volontairement ouvert une brèche dans Firefox ?
    Que penser de l'utilisation de Windows Update lorsque celui-ci modifie un programme tiers ?

  2. #2
    Expert éminent
    Avatar de neo.51
    Profil pro
    Inscrit en
    avril 2002
    Messages
    2 663
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations forums :
    Inscription : avril 2002
    Messages : 2 663
    Points : 6 628
    Points
    6 628
    Par défaut
    Je crois surtout que ce qui avait bien énervé mozilla c'est que le plugin s'installe automatiquement sans prévenir l'utilisateur.

    En gros en schématisant microsoft à quand même installé une faille de sécurité sur firfox sans prévenir ni l'utilisateur ni mozilla. Je comprends qu'il l'aient un peu mauvaise

  3. #3
    Membre expérimenté Avatar de DoubleU
    Profil pro
    Inscrit en
    janvier 2006
    Messages
    1 106
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2006
    Messages : 1 106
    Points : 1 339
    Points
    1 339
    Par défaut
    Pris en flagrant délit là...

    La fondation Mozilla a bien fait d'en rajouter

  4. #4
    Inactif  
    Profil pro
    Inscrit en
    avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 885
    Points : 1 290
    Points
    1 290
    Par défaut
    Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
    => Carton rouge pour Microsoft ET Mozilla.
    *graou* et même *graou*, ou encore *graou*

  5. #5
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    3 921
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 921
    Points : 11 541
    Points
    11 541
    Par défaut
    Citation Envoyé par entreprise38
    Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
    => Carton rouge pour Microsoft ET Mozilla.
    Au contraire, Firefox fait déjà ça depuis la version 3.0. Je ne crois pas que les autres navigateurs le fassent.

    Ceci dit ça ne vaut que pour les applications installée normalement, Si une application malicieuse veut installer une modification furtivement, il n'y a techniquement aucune solution 100% efficace pour l'en empêcher, à partir du moment ou l'installeur à les droits nécessaires.

  6. #6
    Inactif  
    Profil pro
    Inscrit en
    avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 885
    Points : 1 290
    Points
    1 290
    Par défaut
    Je parlais des plugins, donc des applis qui ne sont pas installées "normalement".

    Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
    Ne pas avertir l'utilisateur qu'un truc a été installé sur son navigateur, c'est moyen (pour un browser qui se veut au service de ses utilisateurs). Et l'excuse du "les autres n'en font pas autant" n'est pas valable.
    Si en plus on ne peut même pas désactiver/désinstaller ça facilement, c'est trèèèèès moyen (les choses ont peut être évolué de ce côté là).
    *graou* et même *graou*, ou encore *graou*

  7. #7
    Membre régulier
    Homme Profil pro
    Développeur .NET/C/C++
    Inscrit en
    septembre 2007
    Messages
    71
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur .NET/C/C++
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : septembre 2007
    Messages : 71
    Points : 114
    Points
    114
    Par défaut
    J'ai eu le message pas plus tard qur ce matin, j'avoue m'etre posé la question de ou pouvait bien provenir le plugin qui posait problème. Au moins comme cela, j'ai la réponse.
    Mais c'est clair que Micorsoft qui installe des plugins sans prévenir, c'est pas normal. Le minimum serait de pouvoir au moment de l'installation désactiver cela.

    entreprise38 > Mon avis est que le fautif dans l'histoire est bien Microsoft. Après tout, c'est pas la faute à Mozilla si des applis tiers (Microsoftienne ou autre) installent des plugins sans prévenir.
    "Toujours en faire plus pour en faire moins"

  8. #8
    Inactif  
    Profil pro
    Inscrit en
    avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 885
    Points : 1 290
    Points
    1 290
    Par défaut
    Dans ce quoi pourquoi se focaliser sur Crosoft ?
    Adobe fait pareil avec Flash et Shockwave depuis bien plus longtemps - failles fournies ^^, et j'en passe...
    *graou* et même *graou*, ou encore *graou*

  9. #9
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    3 921
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 921
    Points : 11 541
    Points
    11 541
    Par défaut
    Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
    Justement c'est ce qui est fait depuis la version 3.0 de firefox. Enfin pour les plugins de type extension, les plugins classique de type flash/JVM, n'ont pas de système de contrôle des version(Cela devrait arriver avec la version 3.6)

    Par contre, je doute que se soit crypté car ça ne servirait à rien. Le cryptage n'a jamais été une solution valable empêcher l'accès a des données locales comme les mots de passes, historiques, etc. parcequ'il faut bien que la clé de décryptage soit accessible en local pour que le navigateur puisse décrypter ces infos. Autrement, on serait bon pour saisir un mot de passe maitre à chaque démarrage de l'application .
    Il faut être conscient qu'il est impossible d'empêcher une application malveillante de faire ce qu'elle veux a partir du moment ou elle a les droits nécessaires. Au mieux, on peut juste lui compliquer un peu la tache.

  10. #10
    Inactif  
    Profil pro
    Inscrit en
    avril 2008
    Messages
    885
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 885
    Points : 1 290
    Points
    1 290
    Par défaut
    Justement, les applis de Crosoft & co ne sont pas ce qu'on pourrait appeler des logiciels malveillants
    Ce qui me gène le plus, c'est le manque de contrôle de la part de Mozilla Firefox - on perd le contrôle de son navigateur, et ça, ça craint du boudin.
    *graou* et même *graou*, ou encore *graou*

  11. #11
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 169
    Points
    169
    Par défaut
    Baaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
    (Attention loin de moi l'idée d'ouvrir un troll !!!)

    Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
    1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!
    2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!

    Donc la faute entiére à Microsoft !!!!!!
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

  12. #12
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2005
    Messages
    541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2005
    Messages : 541
    Points : 1 868
    Points
    1 868
    Par défaut
    Citation Envoyé par Federico_muy_bien Voir le message
    Baaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
    (Attention loin de moi l'idée d'ouvrir un troll !!!)
    Il pourrait se passer la même chose sous linux, si un éditeur décidait de forcer l'installation d'un plugin.
    ( Si, c'est clairement un troll )

    Citation Envoyé par Federico_muy_bien Voir le message
    Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
    1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!
    On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.

    Citation Envoyé par Federico_muy_bien Voir le message
    2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!
    Donc la faute entiére à Microsoft !!!!!!
    Microsoft a clairement fait une bourde sur la façon de forcer l'installation. Mais soyez heureux que soit MS. Un vrai logiciel malveillant aurait pu faire de même, vous envoyant des pop-up, envoyant des stats sur vos habitudes de surf etc. Firefox ne devrait en aucun cas charger un plugin non certifié, que ce soit par l'utilisateur ou pas un autre système.
    If it's free, you are not the customer, you are the product.

  13. #13
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    3 921
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 921
    Points : 11 541
    Points
    11 541
    Par défaut
    Citation Envoyé par Neko Voir le message
    On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.
    Non ce n'est absolument pas une faille de sécurité de la part de Firefox, une modification de la part d'une application extérieure ayant tous les droits de modification sur ses fichiers n'est absolument pas de son ressort: il n'y a aucun moyen de l'empêcher, et la détection de ce genre de modification ne peut pas être garantie.

    Il pourrait y avoir une détection plus poussée des installations provenant de source externe, mais ça reste un simple message d'avertissement et on ne peut garantir que l'application externe ne puisse contourner le mécanisme.

    Citation Envoyé par Neko Voir le message
    Microsoft a clairement fait une bourde sur la façon de forcer l'installation. Mais soyez heureux que soit MS. Un vrai logiciel malveillant aurait pu faire de même, vous envoyant des pop-up, envoyant des stats sur vos habitudes de surf etc.
    Oui mais un vrai logiciel malveillant ne s'installe pas via Microsoft Update qui est un canal auquel on est censé faire confiance.

    Citation Envoyé par Neko Voir le message
    Firefox ne devrait en aucun cas charger un plugin non certifié, que ce soit par l'utilisateur ou pas un autre système.
    Pour l'utilisateur, c'est déjà le cas depuis le début.
    Pour une application externe, c'est juste techniquement impossible.

  14. #14
    Membre habitué Avatar de Federico_muy_bien
    Profil pro
    Inscrit en
    avril 2009
    Messages
    154
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : avril 2009
    Messages : 154
    Points : 169
    Points
    169
    Par défaut
    Citation Envoyé par Neko Voir le message
    Il pourrait se passer la même chose sous linux, si un éditeur décidait de forcer l'installation d'un plugin.
    ( Si, c'est clairement un troll )

    On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.
    Bon je n'ai jamais eu à ma conaissance de problémes de mise à jour forcées par Linux ... mais bon c'est un troll (les uns diront oui les autres non)

    Firefox n'est pas un petit OS installé sur Windows. C'est Windows qui gére le petit Firefox qu'il accueille. La boulette !
    La programmation aujourd’hui est une course entre les développeurs tâchant de concevoir des programmes de plus en plus nombreux et efficaces, convenant même aux imbéciles, et l’univers essayant de produire des idiots de plus en plus nombreux et efficaces. Jusqu’à présent, c’est l’univers qui gagne.

  15. #15
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    3 921
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 921
    Points : 11 541
    Points
    11 541
    Par défaut
    Citation Envoyé par Federico_muy_bien
    Bon je n'ai jamais eu à ma conaissance de problémes de mise à jour forcées par Linux ... mais bon c'est un troll (les uns diront oui les autres non)
    Non mais rien n'empêcherait la mise à jour d'un package X a priori sans lien d'ajouter discrètement un plug-in à firefox.
    Je confirme c'est un gros troll!

  16. #16
    Inactif  
    Profil pro
    Inscrit en
    octobre 2009
    Messages
    57
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2009
    Messages : 57
    Points : 88
    Points
    88
    Par défaut
    Beaucoup d'utilisateurs de Windows et de FireFox ont été surpris de cette fenêtre d'avertissement. Moi j'ai blémi, de crainte puis de rage! -"Sacré coup fourré de MicroSoft! j'ai pensé. ...Sûr, ils s'apprêtaient déjà à diffuser un communiqué de presse qui aurait accusé FF de faille de sécurité critique.

    Ma solution: rester en XPsp3, ne pas installer W7, puis attendre W8 pour installer un OS non M$ qui soit enfin novateur. Dans 2 ou 3 ans. Car cette affaire du plug-in malveillant est trop "éruptive" pour l'ignorer dès demain ...autant qu'elle laisse présager une avalanche de manipulations des plus grossières. Jusqu'à une corruption totale d'un système performant anciennement installé sur un ordi: je suspends donc la mise-à-jour automatique de XP, avant terme.

  17. #17
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    avril 2002
    Messages
    3 921
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : avril 2002
    Messages : 3 921
    Points : 11 541
    Points
    11 541
    Par défaut
    Citation Envoyé par 113.113 Voir le message
    Beaucoup d'utilisateurs de Windows et de FireFox ont été surpris de cette fenêtre d'avertissement. Moi j'ai blémi, de crainte puis de rage! -"Sacré coup fourré de MicroSoft! j'ai pensé. ...Sûr, ils s'apprêtaient déjà à diffuser un communiqué de presse qui aurait accusé FF de faille de sécurité critique.
    Microsoft est bien responsable de la faille, mais il est clair qu'ils ne l'ont pas introduite volontairement et n'ont jamais envisagé d'accuser Firefox de quoi que ce soit. Ça aurait été complètement idiot et n'aurait trompé personne.

    Au contraire, ils ont fait un communiqué pour annoncer la découverte d'une faille dans leur logiciel comme ils le font très régulièrement et comme le fait tout éditeur de logiciel y compris Mozilla.
    Citation Envoyé par 113.113 Voir le message
    Ma solution: rester en XPsp3, ne pas installer W7, puis attendre W8 pour installer un OS non M$ qui soit enfin novateur. Dans 2 ou 3 ans. Car cette affaire du plug-in malveillant est trop "éruptive" pour l'ignorer dès demain ...autant qu'elle laisse présager une avalanche de manipulations des plus grossières. Jusqu'à une corruption totale d'un système performant anciennement installé sur un ordi: je suspends donc la mise-à-jour automatique de XP, avant terme.
    Où comment ce tirer une balle dans le pied.
    La faille a été découverte, annoncée puis bloquée sans problème grave. Par contre si tu ne fais pas de mise à jour sur Windows XP, tu as la garantie de te retrouver bientôt avec plein de failles.

    Si tu veux changer d'OS, tu n'as pas besoin d'attendre, tu peux déjà passer a MacOS X ou une distribution Linux.

  18. #18
    Membre actif
    Profil pro
    ----
    Inscrit en
    mai 2004
    Messages
    185
    Détails du profil
    Informations personnelles :
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : ----

    Informations forums :
    Inscription : mai 2004
    Messages : 185
    Points : 245
    Points
    245
    Par défaut
    Il ne faut pas non plus devenir parano. On ne vie pas dans le monde du film Anti Trust ! Microsoft a bien souffert des critiques et n'a pas eu d'autre choix que de les écouté et les prendre en compte.
    Je ne défendrais pas l'idée saugrenue d'installer ce plug-in par Windows Updates. Au pire, s'il l'on positionné dans la section des mises à jour non prioritaire de logiciel tiers… je ne dirais rien. S'il l'on mit dans les mise à jours prioritaire… alors la je dis faute pour l'installation.
    En ce qui concerne la faille de sécurité, il faudrait attendre une théorie de l'isolement communicatif ou un truc du genre pour pouvoir mathématiquement prouver la fiabilité d'un système. Il existe des approches et technique, mais rien de complètement fiable.

    Avec des arguments comme 113.113, j'en arrive à ne plus vouloir sponsorisé le libre. Il regorge de plus en plus d'un public de mauvaise foi qui défendra ses idées sans chercher a vérifié leur bien fondée. Heureusement que Richard Stallman, même s'il peut être virulent dans ces propos, reste une personne intelligente et adulte qui cherche la bonne solution sans essayer d'imposer la [mauvaise] solution qui lui semblerais la meilleurs.

    @113.113 : Tu ne fais pas une bonne pub pour les concurrents de Microsoft. J'en arrive à croire que les défenseurs du libre sont paranos et dénué déprit critique !
    De toutes les choses que j'ai perdue,
    Celle qui me manque le plus...
    c'est mon esprit !

Discussions similaires

  1. Réponses: 90
    Dernier message: 09/10/2010, 14h54
  2. Réponses: 0
    Dernier message: 26/08/2009, 09h26
  3. Réponses: 15
    Dernier message: 17/07/2009, 23h18
  4. Réponses: 0
    Dernier message: 15/07/2009, 12h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo