IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Mozilla s'est trompée sur les extensions malicieuses de Firefox

  1. #21
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    895
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 895
    Points : 2 055
    Points
    2 055
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    J'ai trainé avec des mecs qui piratait des comptes il y a des années de ca pour mettre des divx en ligne, ils utilisaient les mêmes failles pendant plus de 2 ans sans que le moindre correctif soit apporté(faille connue et documentée dans nombre d'articles d'alertes)
    Les failles n'étaient vraiment pas corrigées ou elles l'étaient mais les postes piratés n'étaient pas à jour au niveau des correctifs ? (je pose simplement la question sans défendre qui que ce soit)

  2. #22
    Membre émérite
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 537
    Points : 2 502
    Points
    2 502
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    ...et donc, étant plubliquement connues, ces failles n'en sont que plus dangereuses (dans le sens "elles risquent d'etre exploitées plus rapidement").
    Je crois que tu ne sais pas comment sont géré la plupart des failles.

    La plupart du temps, elles sont découverte par des gens bien intentionnés ou bien gardées comme 0day. Elle ne sont que rarement publiées publiquement avant la correction.

    Si ce sont les programmeurs qui la découvrent, ils la corrigent, et si les gens sont bien intentionnés, il en parlent aux dev.

    Les programmeur corrigent la faille. Dans le cas d'un LL, cette faille va être rendu publique, après correction, alors que dans l'autre cas non.

    On compare donc ici deux chiffres mais cela ne veux rien dire : ces chiffres ne mesurent pas la même chose.

  3. #23
    Membre émérite
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 537
    Points : 2 502
    Points
    2 502
    Par défaut
    Citation Envoyé par Emasc Voir le message
    Une autre source, en anglais toujours, sur les problemes de securité des navigateurs ici

    These statistics cover all reported vulnerabilities in Windows versions of Internet Explorer, Firefox, Safari, and Opera.

    Qu'en pensez vous?
    C'est bien plus sérieux que celle de la news. Cela dit, la criticité des failles n'est aps prise en compte. Or c'est une paramètre important.

  4. #24
    Membre chevronné Avatar de nirgal76
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2007
    Messages
    895
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2007
    Messages : 895
    Points : 2 055
    Points
    2 055
    Par défaut
    Citation Envoyé par deadalnix Voir le message
    Je crois que tu ne sais pas comment sont géré la plupart des failles.

    La plupart du temps, elles sont découverte par des gens bien intentionnés ou bien gardées comme 0day. Elle ne sont que rarement publiées publiquement avant la correction.

    Si ce sont les programmeurs qui la découvrent, ils la corrigent, et si les gens sont bien intentionnés, il en parlent aux dev.

    Les programmeur corrigent la faille. Dans le cas d'un LL, cette faille va être rendu publique, après correction, alors que dans l'autre cas non.

    On compare donc ici deux chiffres mais cela ne veux rien dire : ces chiffres ne mesurent pas la même chose.
    Donc au final, la plupart du temps, peu importe le nombre de faille d'une appli, elles ne sont connues qu'une fois corrigées donc pas énormément dangereuses (puisque non exploitées) ? donc pour l'utilisateur final (de son point de vue), le nombre de faille n'est pas vraiment un critère de choix.
    Tout cela à condition qu'il mette à jour très régulièrement son logiciel car une fois rendu publique, là pour le coup, ça devient dangereux.

  5. #25
    Membre à l'essai
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    septembre 2005
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : septembre 2005
    Messages : 7
    Points : 10
    Points
    10
    Par défaut
    @dealalnix :
    En effet, je ne dis pas que seul Firefox possède des faiblesses, loin de là. Tous les navigateurs en ont. Il se trouve juste qu'il est EXTRÊMEMENT SIMPLE d'exploiter les faiblesses de sécurité dans les extensions au niveau de firefox, alors qu'il faut quand même bien plus de recherches et de connaissances pour faire quelque-chose de similaire dans IE. N'importe quel initié à l'informatique et au javascript peut développer sa propre extension malicieuse. Conjugué à cela que personne ne contrôle réellement toutes les extensions "faites pour notre bien" disponibles sur Internet, on est parfaitement en mesure de penser qu'il en existe dans le lot qui sont vérolées (parfois sous des aspects totalement inoffensifs de gadget météo ou autre) !

    @Firewen:
    les extensions étant installées uniquement sur la session de l'utilisateur dans le cas d'une installation en entreprise correctement effectuée, je vois pas où est le problème.
    On peut tout de même récupérer TOUTES les informations concernant l'utilisateur... Et dans le cas d'une entreprise, récolter aussi par ce biais des mots de passe d'accès à l'intranet de l'entreprise elle-même, la totalité du contenu des webmails, les numéros de CB, les contrats... Enfin, si tu persistes à dire qu'il n'y a aucun problème à ça, autant ne plus utiliser de mots de passe du tout !

    @entreprise38 :
    Ca m'a l'air d'être totalement ça parfois...

    @BainE :
    Tu oublies bien des vecteurs d'infection (clés USB, CDs, e-mail...). Mais aussi les extensions vérolées téléchargeables (à l'insu ou non de l'utilisateur !).
    Le plus grave est que l'installation d'une extension se fait sans même la nécessité d'un compte administrateur, sans toucher à aucun fichier "protégé". Aucune nécessité de configuration de connexion non plus (proxys, firewall...) : simple HTTP/HTTPS via firefox. Quasi-indétectable (sauf à aller voir soi-même sur wireshark...) mais le fais-tu systématiquement à chaque fois que tu regardes tes mails ?
    N'est-ce pas plus simple que de s'introduire dans une machine par l'extérieur, quand tu dois te soucier de ta non-détection ? Et qu'il faut aussi arriver à mettre en place des keyloggers et autres spywares pour arriver à tes fins ? (facilement détectables qui plus est...) !
    Le pluggin ne te donne acces a rien, il t envoie juste les data des formulaires en esperant que ce soit des données sensibles.
    Faux, c'est juste parce dans mon article je ne présente pas le moyen de le faire. Mais avec XPCOM tu peux très bien l'améliorer (facilement!) pour qu'il puisse lire des instructions sur un serveur, les exécuter en local, et renvoyer le résultat (récupérer l'arborescence de fichiers, un fichier en particulier, corrompre des fichiers, ... les possibilités sont très nombreuses)
    Ca prouverait que Word et Excel ont des failles
    D'une part, Word et Excel sont des fichiers protégés et signés ; On ne peut pas les modifier comme ça (droits invité). De plus, ils soulèvent facilement des doutes lorsqu'ils essayent de se connecter à permanence à Internet...

    @thelvin :
    Tout à fait. Le problème se situe plus sur la gestion des extensions que sur le logiciel en lui-même. Il devrait être interdit de dissumuler une extension, ou de permettre de l'installer silencieusement.

  6. #26
    Modérateur

    Profil pro
    Inscrit en
    septembre 2004
    Messages
    12 299
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2004
    Messages : 12 299
    Points : 20 810
    Points
    20 810
    Par défaut
    Citation Envoyé par ni69 Voir le message
    @dealalnix :
    En effet, je ne dis pas que seul Firefox possède des faiblesses, loin de là. Tous les navigateurs en ont. Il se trouve juste qu'il est EXTRÊMEMENT SIMPLE d'exploiter les faiblesses de sécurité dans les extensions au niveau de firefox [et je le prouve de plusieurs façons]
    Il manque une conclusion à tout ça, parce que la mienne, c'est "et alors ?" Il y a besoin d'accéder à la machine pour le faire silencieusement. Et effectivement, convaincre l'utilisateur d'installer une extension malhonnête est trop facile. Point.

    Citation Envoyé par ni69 Voir le message
    @BainE :
    Tu oublies bien des vecteurs d'infection [blah blah blah blah on peut si on a accès à la machine].
    Bon, ton étude je l'aime bien, mais il faut arrêter de se toucher, maintenant.

    Si tu as accès à la machine, presque tout est piratable, IE, winlogon, Flash, Firefox, une bonne partie de trucs MacOs et linux aussi, presque tout, sans compter que les caches sont grand ouverts à l'inspection. Que ça soit compliqué à faire n'a pas d'importance car :
    - C'est accéder à la machine, qui est compliqué,
    - De toute façon, des scripts kiddies qui savent faire les trucs compliqués t'ont fait ton programme tout prêt qu'il n'y a plus qu'à exécuter.

    C'est comme ça, et un de ces jours il faudra te le mettre dans le crâne, c'est quand même un peu la base de la base. C'est justement à cause de ça que les "malwares," ça existe autant.

    Par ailleurs, certes il n'y a pas besoin de l'accès admin pour ça. Mais si tu as accès à la machine, l'accès admin n'est pas forcément compliqué à obtenir, au moins sur Windows. Ça aussi c'est une réalité.

    Citation Envoyé par ni69 Voir le message
    @thelvin :
    Tout à fait. Le problème se situe plus sur la gestion des extensions que sur le logiciel en lui-même. Il devrait être interdit de dissumuler une extension, ou de permettre de l'installer silencieusement.
    (Ancien :
    Et tu as justement prouvé qu'on ne peut pas le faire. Il faudrait voir à pas se planter dans tes propres conclusions.
    Correction : )
    Et tu as justement prouvé que l'approche naïve ne le permet pas. Il faudrait voir à pas se planter dans tes propres conclusions.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  7. #27
    Membre émérite
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : juillet 2006
    Messages : 1 537
    Points : 2 502
    Points
    2 502
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    Donc au final, la plupart du temps, peu importe le nombre de faille d'une appli, elles ne sont connues qu'une fois corrigées donc pas énormément dangereuses (puisque non exploitées) ? donc pour l'utilisateur final (de son point de vue), le nombre de faille n'est pas vraiment un critère de choix.
    Tout cela à condition qu'il mette à jour très régulièrement son logiciel car une fois rendu publique, là pour le coup, ça devient dangereux.
    Non, tu n'as pas comprit.

    Les faiblesses ne sont pas connues publiquement, ça ne signifie pas qu'elle ne sont pas connues Elles ne seront par contre pas prises en compte dans cette étude.

  8. #28
    Membre confirmé
    Avatar de chemanel
    Homme Profil pro
    Inscrit en
    janvier 2005
    Messages
    173
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2005
    Messages : 173
    Points : 457
    Points
    457
    Par défaut
    Citation Envoyé par thelvin Voir le message
    Il manque une conclusion à tout ça, parce que la mienne, c'est "et alors ?" Il y a besoin d'accéder à la machine pour le faire silencieusement. Et effectivement, convaincre l'utilisateur d'installer une extension malhonnête est trop facile. Point.
    Justement... c'est trop facile, ça ne te gène pas?


    Citation Envoyé par thelvin Voir le message
    Bon, ton étude je l'aime bien, mais il faut arrêter de se toucher, maintenant.

    Si tu as accès à la machine, presque tout est piratable, IE, winlogon, Flash, Firefox, une bonne partie de trucs MacOs et linux aussi, presque tout, sans compter que les caches sont grand ouverts à l'inspection. Que ça soit compliqué à faire n'a pas d'importance car :
    - C'est accéder à la machine, qui est compliqué,
    - De toute façon, des scripts kiddies qui savent faire les trucs compliqués t'ont fait ton programme tout prêt qu'il n'y a plus qu'à exécuter.

    C'est comme ça, et un de ces jours il faudra te le mettre dans le crâne, c'est quand même un peu la base de la base. C'est justement à cause de ça que les "malwares," ça existe autant.
    T'es un peu de mauvaise foi là... Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox silencieusement c'est sur...

    Par contre donner accès a quelqu'un a ton homebanking, ton compte paypal ou autre, juste parce que tu as installer une extension qui te donne la météo dans ta ville...


    Citation Envoyé par thelvin Voir le message
    Par ailleurs, certes il n'y a pas besoin de l'accès admin pour ça. Mais si tu as accès à la machine, l'accès admin n'est pas forcément compliqué à obtenir, au moins sur Windows. Ça aussi c'est une réalité.
    Sur xp sans service pack, j'avoue oui... Mais ça reviendrais a comparer XP a une version de linux ou de mac sortie y'a plusieurs années ça...
    Est ce que c'est toujours aussi facile sous windows 7? (simple question hein)



    Citation Envoyé par thelvin Voir le message
    Et tu as justement prouvé qu'on ne peut pas le faire. Il faudrait voir à pas se planter dans tes propres conclusions.
    Tu as vraiment qqch contre ni69 hein?

  9. #29
    Modérateur

    Profil pro
    Inscrit en
    septembre 2004
    Messages
    12 299
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2004
    Messages : 12 299
    Points : 20 810
    Points
    20 810
    Par défaut
    Citation Envoyé par chemanel Voir le message
    Justement... c'est trop facile, ça ne te gène pas?
    (Avant : Non, car ce n'est pas gênant. Pour quelqu'un qui cherche à le faire, et qui a accès à la machine, pirater n'importe quoi est trop facile. Firefox ou autre chose, ça n'a pas d'importance, rien n'est difficile.)

    Après : Pardon, je t'ai mal lu. Si si, c'est effectivement très grave que faire installer une extension malhonnête soit si facile. Quand c'est moi qui gère l'ordi des gens pas habitués, je bloque ça. Ça devrait être fait par défaut.
    Mais ce n'est pas le sujet qui m'a fait réagir.


    T'es un peu de mauvaise foi là... Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox silencieusement c'est sur...
    Je ne suis pas du tout de mauvaise foi mais je suis d'accord : Si tu as déjà accès a la machine... Que t'es admin partout... tu vas pas t'amuser a installer une extension pour firefox. Raison pour laquelle ce n'est pas Firefox le problème, ici.

    Par contre donner accès a quelqu'un a ton homebanking, ton compte paypal ou autre, juste parce que tu as installer une extension qui te donne la météo dans ta ville...
    Nan mais je suis d'accord mais on parle pas de ça, on parle d'avoir une extension qui s'installe sans qu'on le sache, à cause d'un accès local à l'ordi.

    Sur xp sans service pack, j'avoue oui... Mais ça reviendrais a comparer XP a une version de linux ou de mac sortie y'a plusieurs années ça...
    Est ce que c'est toujours aussi facile sous windows 7? (simple question hein)
    Le truc c'est que si tu as réussi à faire ça, c'est que l'utilisateur te fait confiance. Sous Windows il te l'a déjà donné, le droit admin. Et puis, pour modifier les données persos d'une session utilisateur, quel que soit l'OS, pas besoin d'accès admin.

    Bref, Seven ou autre chose, même combat, les OS utilisateurs sont faibles devant ce genre d'attaque.

    Tu as vraiment qqch contre ni69 hein?
    Je me suis trop énervé, c'est carrément clair. Nan, ce qui m'a fait voir rouge, c'est que son étude sur un rootkit dans Firefox, elle est sympa et bien faite, on a besoin de ce genre de choses.

    Alors la déception quand manifestement il se trompe sur les principes de base de la sécurité... Beuark, ça m'énerve. Ça marche pas comme ça, c'est tout. Normalement je commence même pas à discuter quand on sait pas de quoi on parle, mais comme l'étude était intéressante, je me suis laissé prendre... Bouh, missa s'est laissé tromper, missa est pas fier.
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  10. #30
    Rédacteur/Modérateur

    Avatar de gorgonite
    Homme Profil pro
    Ingénieur d'études
    Inscrit en
    décembre 2005
    Messages
    10 321
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'études
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2005
    Messages : 10 321
    Points : 18 477
    Points
    18 477
    Par défaut
    pour infos, il existe des moyens de restreindre les droits des extensions Firefox, même si ce n'est pas fait par défaut

    il est possible d'installer des extensions en mode administrateur, et elles seront accessibles à tous les utilisateurs

    via ce genre d'extension obligatoire, pourquoi ne pas :
    • interdire d'utiliser des composants xpcom "locaux", ie fournis par une extension utilisateur
    • interdire les requêtes XMLHttpRequest vers un autre domaine que celui du site visité
    • interdire l'accès via Dom au contenu de champ 'password'
    • interdire l'accès aux cookies
    • ...



    encore une fois, un bon administrateur aura conscience de ces réalités, et aura pris soin de paramétrer le navigateur et les extensions "système"
    après Mozilla ayant besoin de gagner des parts de marché, de telles politiques de sécurité avancée ne conviennent pas à un utilisateur lambda et il préfère laisser les geeks s'amuser... avec un outil qui est paramétrable et extensible à souhait, ce qui rend tout changement ultérieur douloureux


    le seul véritable "reproche" qu'on pourrait exposer est qu'il n'existe, à ma connaissance, pas d'extension officielle offrant une console de sécurisation conviviale... un peu comme le pare-feu (mode non avancé) de Windows, ce serait déjà mieux que rien, et compréhensible par le commun des mortels


    pour plus d'infos sur l'architecture des outils Mozilla en général
    http://m-alexandre.developpez.com/ar.../presentation/
    Evitez les MP pour les questions techniques... il y a des forums
    Contributions sur DVP : Mes Tutos | Mon Blog

  11. #31
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    mai 2004
    Messages
    2 251
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 2 251
    Points : 6 517
    Points
    6 517
    Par défaut
    Citation Envoyé par nirgal76 Voir le message
    Les failles n'étaient vraiment pas corrigées ou elles l'étaient mais les postes piratés n'étaient pas à jour au niveau des correctifs ? (je pose simplement la question sans défendre qui que ce soit)
    Non, pas corrigé par microsoft...
    De mémoire c'était sous windows faille IPC, mais je ne me souviens plus, ca doit faire 5 ou 6 ans que j'avais discuté de ca avec eux.

    Pour le reste, je maintient que plusieurs niveau d'accréditation serait pas mal. Exemple, une extension qui permet une recherche ou de donner la météo n'a pas besoin d'accéder aux données de l'utilisateur.

    On peut même imaginer que les applications qui accèdent aux données sensibles ne puisse être installé sans alarme et autre avertissement que si elles sont approuvées par mozilla.

    Autant installer une application de la mort qui tue ca motive les gens, autant le faire après 3 avertissements et une dérogation de sécurité(comme les sites HTTPS sans certificats valides) ca refroidit les gens.

  12. #32
    Membre éprouvé Avatar de s4mk1ng
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juillet 2008
    Messages
    535
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Oise (Picardie)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2008
    Messages : 535
    Points : 1 271
    Points
    1 271
    Par défaut
    houa c'est quoi ce classement on parle bien du navigateur le plus vulnérable je ne penses pas que ie soit le 2e plus sur navigateur tout simplement car vu qu'il y a à peu près les 2/3 des utilisateurs qui l'utilisent cela représente un plus grans nombres de personnes à """pirater""" donc c'est normal qu'il soit le plus vulnérable après AMHA je penses que cette boite a voulu se faire une bonne pub en allant à contre-courant.
    Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn

  13. #33
    Membre éclairé
    Profil pro
    Développeur Java
    Inscrit en
    mars 2004
    Messages
    624
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : mars 2004
    Messages : 624
    Points : 665
    Points
    665
    Par défaut
    Du coup, vaut mieux utiliser Amaya http://www.w3.org/Amaya/

  14. #34
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut La sécurité de Firefox victime de ses extensions
    Sécurité : Firefox victime de ses extensions
    Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur


    En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.

    Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
    Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.

    Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont permis à un cheval de Troyes de pénétrer les machines de'utilisateurs de Firefox (NB : seul Windows est concerné).

    Les deux add-ons incriminés s'appellent Sothink Web Video Downloader 4.0 et Master Filer.

    On estime à 1.600 le nombre de personnes infectées. Mais ce chiffre de prend pas en compte ceux qui se ont pu se procurer les deux extensions via d'autre sources de téléchargement.

    La menace reste donc assez limitée. Le faible chiffre s'explique par le fait que ces deux add-ons étaient catalogués dans comme « expérimentaux ». Elle met néanmoins à jour les failles du système de sécurité de Mozilla et de sa galerie d'extensions.

    Chaque extension proposée sur le site de téléchargement officiel est soumis à un scan. Ce fut bien le cas de Sothink Web Video Downloader 4.0 et Master Filer mais les anti-virus de Mozilla n'avaient rien détecté de particulier.

    « Les outils de scans ont échoué à détecter ce Trojan dans MasterFile. Deux autres outils de détection ont donc été ajoutés dans la chaine de validation et tous les add-ons ont été analysés à nouveau, ce qui a permis de révéler un autre Trojan dans la version 4.0 de Sothink Web Video Downloader. Aucune autre trace de malware n'a été découverte ».

    Ce qui ne veut pas dire qu'il n'y en a pas...

    Mozilla recommande de désinstaller Sothink Web Video Downloader 4.0 et Master Filer sur-le-champ, puis d'effectuer une analyse avec un anti-virus.

    L'histoire ne dit pas si la Fondation enverra une message aux utilisateurs concernés ou si elle se contentera de communiquer sur son blog et sur des sites spécialisés.

    MasterFile semble l'œuvre d'un développeur isolé. Quant à Sothink Web Video Downloader 4.0 il est le fruit du travail d'une entreprise tout à fait normale. Pour la Chine, s'entend.

    Les version ultérieure de Sothink Web Video Downloader sont toujours disponibles sur le site de Mozilla.

    Après, c'est à vous de voir.


    Source : Le billet de Mozilla sur la découverte de la menace

    Et vous ?

    D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
    Comment la Fondation Mozilla pourrait-elle améliorer la sécurité des add-ons ?

  15. #35
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 574
    Points
    574
    Par défaut
    C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
    Une simple analyse anti-virus automatique ne suffit pas .
    Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu .

  16. #36
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut
    Citation Envoyé par ILP Voir le message
    C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
    Une simple analyse anti-virus automatique ne suffit pas .
    Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu .
    Oui, et c'est bien là le point névralgique.

    D'habitude libre = ouvert = sécu... sauf que là, il semble qu'il n'y ait pas assez de monde pour regarder tout ça.

    Ce qui pose la question de savoir si "trop d'extensions ne tuent pas les extensions" ?...

  17. #37
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 294
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 294
    Points : 12 919
    Points
    12 919
    Par défaut
    C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
    Tout simplement irréalisable. Tu imagines le travail que ça serait d'auditer le code de chaque extension? D'autant plus que ca serait certainement contournable en laissant des failles discrètes.

  18. #38
    Membre confirmé
    Avatar de teddyalbina
    Homme Profil pro
    Développeur .Net,C++
    Inscrit en
    janvier 2008
    Messages
    466
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .Net,C++

    Informations forums :
    Inscription : janvier 2008
    Messages : 466
    Points : 559
    Points
    559
    Par défaut
    Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++
    Viva la viva... en el chorizo de la corida de leon.... (cette phrase n'a aucun sens je sais )

  19. #39
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 798
    Points
    148 798
    Par défaut Mise à jour :
    Mozilla s'est trompée sur les extensions malicieuses de Firefox
    Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?


    La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).

    "Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.

    Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.

    "Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.

    A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.

    Un de bon, un de faux, donc.

    Et toujours le même point faible pour la sécurité de Firefox.


    Source : Le billet sue le blog de Mozilla


    Et vous ?

    D'après vous, quelle est la meilleure solution pour que les extensions de Firefox soient sécurisées ? Et que dans le même temps elles ne soient pas accusées à tort d'être des malwares ?

  20. #40
    Expert éminent
    Avatar de smyley
    Profil pro
    Inscrit en
    juin 2003
    Messages
    6 270
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2003
    Messages : 6 270
    Points : 8 585
    Points
    8 585
    Par défaut
    Citation Envoyé par teddyalbina Voir le message
    Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++
    Tout les concepts utilisés dans les navigateurs modernes (sandbox, séparation multiprocess, etc) sont possible en .NET. Mais il manque quelque chose de taille : un moteur de rendu.

    Là, il n'y a en gros que IE et Gecko que l'on peut utiliser, et ce sont des moteurs en C/C++ ...

Discussions similaires

  1. Précisions sur les extensions MAP
    Par WebPac dans le forum Delphi
    Réponses: 4
    Dernier message: 18/02/2007, 09h40
  2. travailler sur les extensions en vbs
    Par balthior dans le forum VBScript
    Réponses: 5
    Dernier message: 22/12/2006, 08h47
  3. comment savoir qui est connecté sur les db
    Par zoltix dans le forum Requêtes
    Réponses: 4
    Dernier message: 19/05/2006, 16h35
  4. [10g R2 Windows] Documentation sur les extensions .NET
    Par Laurent Dardenne dans le forum Oracle
    Réponses: 5
    Dernier message: 22/08/2005, 20h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo