Discussion :

[Gordon Fowler]

Firefox victime d'une faille de sécurité ouverte par Windows Update
Un plug-in pour .NET est incriminé

Le scandale n'est pas loin.

En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.

A tel point que Firefox l'a bloqué :





Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.

Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.

Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.

Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.

De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?

Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.

Sources :

Le billet du Security & Research Defense et les deux correctifs de Microsoft.

Lire aussi :

Les rubriques Sécurité, Développement Web et .NET de Développez.com

Firefox : la page de détection des plug-ins périmés officiellement lancée
Les concurrents de Microsoft pensent qu'il utilisera Windows Update pour tenter de favoriser Internet Explorer

Et vous ? :

Pensez-vous que Microsoft a volontairement ouvert une brèche dans Firefox ?
Que penser de l'utilisation de Windows Update lorsque celui-ci modifie un programme tiers ?

[neo.51]

Je crois surtout que ce qui avait bien énervé mozilla c'est que le plugin s'installe automatiquement sans prévenir l'utilisateur.

En gros en schématisant microsoft à quand même installé une faille de sécurité sur firfox sans prévenir ni l'utilisateur ni mozilla. Je comprends qu'il l'aient un peu mauvaise

[DoubleU]

Pris en flagrant délit là...

La fondation Mozilla a bien fait d'en rajouter

[entreprise38]

Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
=> Carton rouge pour Microsoft ET Mozilla.

[Uther]

Mouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
=> Carton rouge pour Microsoft ET Mozilla.

Au contraire, Firefox fait déjà ça depuis la version 3.0. Je ne crois pas que les autres navigateurs le fassent.

Ceci dit ça ne vaut que pour les applications installée normalement, Si une application malicieuse veut installer une modification furtivement, il n'y a techniquement aucune solution 100% efficace pour l'en empêcher, à partir du moment ou l'installeur à les droits nécessaires.

[entreprise38]

Je parlais des plugins, donc des applis qui ne sont pas installées "normalement".

Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
Ne pas avertir l'utilisateur qu'un truc a été installé sur son navigateur, c'est moyen (pour un browser qui se veut au service de ses utilisateurs). Et l'excuse du "les autres n'en font pas autant" n'est pas valable.
Si en plus on ne peut même pas désactiver/désinstaller ça facilement, c'est trèèèèès moyen (les choses ont peut être évolué de ce côté là).

[bountykiler]

J'ai eu le message pas plus tard qur ce matin, j'avoue m'etre posé la question de ou pouvait bien provenir le plugin qui posait problème. Au moins comme cela, j'ai la réponse.
Mais c'est clair que Micorsoft qui installe des plugins sans prévenir, c'est pas normal. Le minimum serait de pouvoir au moment de l'installation désactiver cela.

entreprise38 > Mon avis est que le fautif dans l'histoire est bien Microsoft. Après tout, c'est pas la faute à Mozilla si des applis tiers (Microsoftienne ou autre) installent des plugins sans prévenir.

[entreprise38]

Dans ce quoi pourquoi se focaliser sur Crosoft ?
Adobe fait pareil avec Flash et Shockwave depuis bien plus longtemps - failles fournies ^^, et j'en passe...

[Uther]

Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.

Justement c'est ce qui est fait depuis la version 3.0 de firefox. Enfin pour les plugins de type extension, les plugins classique de type flash/JVM, n'ont pas de système de contrôle des version(Cela devrait arriver avec la version 3.6)

Par contre, je doute que se soit crypté car ça ne servirait à rien. Le cryptage n'a jamais été une solution valable empêcher l'accès a des données locales comme les mots de passes, historiques, etc. parcequ'il faut bien que la clé de décryptage soit accessible en local pour que le navigateur puisse décrypter ces infos. Autrement, on serait bon pour saisir un mot de passe maitre à chaque démarrage de l'application .
Il faut être conscient qu'il est impossible d'empêcher une application malveillante de faire ce qu'elle veux a partir du moment ou elle a les droits nécessaires. Au mieux, on peut juste lui compliquer un peu la tache.

[entreprise38]

Justement, les applis de Crosoft & co ne sont pas ce qu'on pourrait appeler des logiciels malveillants
Ce qui me gène le plus, c'est le manque de contrôle de la part de Mozilla Firefox - on perd le contrôle de son navigateur, et ça, ça craint du boudin.

[Federico_muy_bien]

Baaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
(Attention loin de moi l'idée d'ouvrir un troll !!!)

Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!
2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!

Donc la faute entiére à Microsoft !!!!!!

[Neko]

Baaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
(Attention loin de moi l'idée d'ouvrir un troll !!!)

Il pourrait se passer la même chose sous linux, si un éditeur décidait de forcer l'installation d'un plugin.
( Si, c'est clairement un troll )

Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!

On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.

2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!
Donc la faute entiére à Microsoft !!!!!!

Microsoft a clairement fait une bourde sur la façon de forcer l'installation. Mais soyez heureux que soit MS. Un vrai logiciel malveillant aurait pu faire de même, vous envoyant des pop-up, envoyant des stats sur vos habitudes de surf etc. Firefox ne devrait en aucun cas charger un plugin non certifié, que ce soit par l'utilisateur ou pas un autre système.

[Uther]

On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.

Non ce n'est absolument pas une faille de sécurité de la part de Firefox, une modification de la part d'une application extérieure ayant tous les droits de modification sur ses fichiers n'est absolument pas de son ressort: il n'y a aucun moyen de l'empêcher, et la détection de ce genre de modification ne peut pas être garantie.

Il pourrait y avoir une détection plus poussée des installations provenant de source externe, mais ça reste un simple message d'avertissement et on ne peut garantir que l'application externe ne puisse contourner le mécanisme.

Microsoft a clairement fait une bourde sur la façon de forcer l'installation. Mais soyez heureux que soit MS. Un vrai logiciel malveillant aurait pu faire de même, vous envoyant des pop-up, envoyant des stats sur vos habitudes de surf etc.

Oui mais un vrai logiciel malveillant ne s'installe pas via Microsoft Update qui est un canal auquel on est censé faire confiance.

Firefox ne devrait en aucun cas charger un plugin non certifié, que ce soit par l'utilisateur ou pas un autre système.

Pour l'utilisateur, c'est déjà le cas depuis le début.
Pour une application externe, c'est juste techniquement impossible.

[Federico_muy_bien]

Il pourrait se passer la même chose sous linux, si un éditeur décidait de forcer l'installation d'un plugin.
( Si, c'est clairement un troll )

On est d'accord, il y a donc bien faille de la part de firefox, le message n'est pas présent. Il devrait l'être.

Bon je n'ai jamais eu à ma conaissance de problémes de mise à jour forcées par Linux ... mais bon c'est un troll (les uns diront oui les autres non)

Firefox n'est pas un petit OS installé sur Windows. C'est Windows qui gére le petit Firefox qu'il accueille. La boulette !

[Uther]

Bon je n'ai jamais eu à ma conaissance de problémes de mise à jour forcées par Linux ... mais bon c'est un troll (les uns diront oui les autres non)

Non mais rien n'empêcherait la mise à jour d'un package X a priori sans lien d'ajouter discrètement un plug-in à firefox.
Je confirme c'est un gros troll!

[113.113]

Beaucoup d'utilisateurs de Windows et de FireFox ont été surpris de cette fenêtre d'avertissement. Moi j'ai blémi, de crainte puis de rage! -"Sacré coup fourré de MicroSoft! j'ai pensé. ...Sûr, ils s'apprêtaient déjà à diffuser un communiqué de presse qui aurait accusé FF de faille de sécurité critique.

Ma solution: rester en XPsp3, ne pas installer W7, puis attendre W8 pour installer un OS non M$ qui soit enfin novateur. Dans 2 ou 3 ans. Car cette affaire du plug-in malveillant est trop "éruptive" pour l'ignorer dès demain ...autant qu'elle laisse présager une avalanche de manipulations des plus grossières. Jusqu'à une corruption totale d'un système performant anciennement installé sur un ordi: je suspends donc la mise-à-jour automatique de XP, avant terme.

[Uther]

Beaucoup d'utilisateurs de Windows et de FireFox ont été surpris de cette fenêtre d'avertissement. Moi j'ai blémi, de crainte puis de rage! -"Sacré coup fourré de MicroSoft! j'ai pensé. ...Sûr, ils s'apprêtaient déjà à diffuser un communiqué de presse qui aurait accusé FF de faille de sécurité critique.

Microsoft est bien responsable de la faille, mais il est clair qu'ils ne l'ont pas introduite volontairement et n'ont jamais envisagé d'accuser Firefox de quoi que ce soit. Ça aurait été complètement idiot et n'aurait trompé personne.

Au contraire, ils ont fait un communiqué pour annoncer la découverte d'une faille dans leur logiciel comme ils le font très régulièrement et comme le fait tout éditeur de logiciel y compris Mozilla.

Ma solution: rester en XPsp3, ne pas installer W7, puis attendre W8 pour installer un OS non M$ qui soit enfin novateur. Dans 2 ou 3 ans. Car cette affaire du plug-in malveillant est trop "éruptive" pour l'ignorer dès demain ...autant qu'elle laisse présager une avalanche de manipulations des plus grossières. Jusqu'à une corruption totale d'un système performant anciennement installé sur un ordi: je suspends donc la mise-à-jour automatique de XP, avant terme.

Où comment ce tirer une balle dans le pied.
La faille a été découverte, annoncée puis bloquée sans problème grave. Par contre si tu ne fais pas de mise à jour sur Windows XP, tu as la garantie de te retrouver bientôt avec plein de failles.

Si tu veux changer d'OS, tu n'as pas besoin d'attendre, tu peux déjà passer a MacOS X ou une distribution Linux.

[/dev/null]

Il ne faut pas non plus devenir parano. On ne vie pas dans le monde du film Anti Trust ! Microsoft a bien souffert des critiques et n'a pas eu d'autre choix que de les écouté et les prendre en compte.
Je ne défendrais pas l'idée saugrenue d'installer ce plug-in par Windows Updates. Au pire, s'il l'on positionné dans la section des mises à jour non prioritaire de logiciel tiers… je ne dirais rien. S'il l'on mit dans les mise à jours prioritaire… alors la je dis faute pour l'installation.
En ce qui concerne la faille de sécurité, il faudrait attendre une théorie de l'isolement communicatif ou un truc du genre pour pouvoir mathématiquement prouver la fiabilité d'un système. Il existe des approches et technique, mais rien de complètement fiable.

Avec des arguments comme 113.113, j'en arrive à ne plus vouloir sponsorisé le libre. Il regorge de plus en plus d'un public de mauvaise foi qui défendra ses idées sans chercher a vérifié leur bien fondée. Heureusement que Richard Stallman, même s'il peut être virulent dans ces propos, reste une personne intelligente et adulte qui cherche la bonne solution sans essayer d'imposer la [mauvaise] solution qui lui semblerais la meilleurs.

@113.113 : Tu ne fais pas une bonne pub pour les concurrents de Microsoft. J'en arrive à croire que les défenseurs du libre sont paranos et dénué déprit critique !