Discussion :

[Gordon Fowler]

Mise à jour du 11/02/10
NB : Les commentaires sur cette mise à jour commencent ici dans le topic


Mozilla s'est trompée sur les extensions malicieuses de Firefox
Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?


La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).

"Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.

Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.

"Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.

A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.

Un de bon, un de faux, donc.

Et toujours le même point faible pour la sécurité de Firefox.


Source : Le billet sue le blog de Mozilla


Et vous ?

D'après vous, quelle est la meilleure solution pour que les extensions de Firefox soient sécurisées ? Et que dans le même temps elles ne soient pas accusées à tort d'être des malwares ?


MAJ de Gordon Fowler



Mise à jour du 05/02/10
NB : Les commentaires sur cette mise à jour commencent ici dans le topic


Sécurité : Firefox victime de ses extensions
Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur


En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.

Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.

Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont... [Lire la suite]


Et vous ?

D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
Comment la Fondation Mozilla pourrait-elle améliorer la sécurité des add-ons ?


MAJ de Gordon Fowler



Firefox : le navigateur le plus vulnérable ?
Une étude affirme que Firefox serait à l'origine de 44 % des vulnérabilités de tous les navigateurs


Cenzic est une société qui fournit des solutions de sécurité. Elle s'est donc sans surprise penchée sur les vulnérabilités des navigateurs recensées sur le premier semestre 2009.

La surprise, elle, vient des résultats de l'étude. Firefox aurait été à l'origine de 44 % des vulnérabilités de tous les navigateurs. En deuxième position arrive Safari (35 %) puis Internet Explorer (15 %). Opera arrive bon dernier – la meilleure place donc – avec seulement 6 % des vulnérabilités.

Le PDG de Cenzic explique et relativise ce résultat à contrecourant des idées reçues.

Pour lui la popularité grandissante du Panda Roux explique l'augmentation de son exposition aux menaces. A contrario Opera est plus à l'abri de l'attention des hackers.

D'autre part, le navigateur lui-même serait très sûr. Ce n'est pas le cas des plug-ins et des extensions.

Les plug-ins tout d'abord, que les utilisateurs prennent trop de temps à mettre à jour (quand ils le font). Pour y remédier, Mozilla a mis en place une page de détection qui invite à les updater en cas de besoin. Cette fonction sera intégrée en natif dans les prochaines versions de Firefox et devrait donc logiquement faire baisser son score "de vulnérabilité" dans la prochaine étude.



Process satirique "Browser Debugging in a Nutshell"


Les extensions ensuite. Ces programmes qui ajoutent des fonctionnalités au navigateur ont fait son succès. Revers de la médaille, Mozilla ne peut (et n'a jamais voulu) contrôler leur sécurité. Certaines sont certifiées certes, mais les autres, malgré les messages d'alerte, peuvent être installées et ouvrir des failles.

Cenzic reste assez flou sur la méthode employée pour classer les navigateurs. Car si Firefox possède le plus grand nombre de vulnérabilités recensées, le PDG de la société souligne pourtant que ses utilisateurs ne seraient pas pour autant les plus vulnérables...

Aucun mot, non plus, sur les délais et les temps de réaction entre la découverte d'une faille et son patch.

Cenzic précise également que ses solutions de sécurité utilisent des technologies de Mozilla.

Une légère crainte d'être accusé d'instrumentalisation surtout après que le gouvernement Wallon a banni Firefox de ses institutions pour imposer l'usage exclusif d'Internet Explorer 6 ?

Source : L'étude de Cenzic

Lire aussi :

Firefox met de plus en plus à mal l'hégémonie d'Internet Explorer

Firefox victime d'une faille de sécurité ouverte par Windows Update, Microsoft reconnait qu'un plug-in pour .NET est concerné

Firefox vers une nouvelle Interface Utilisateur : bilan des évolutions en cours

La rubrique Développement Web (forum, actus, tutos)

Et vous ? :

Que pensez-vous des résultats de cette étude ? Vous étonnent-ils ?
Pour vous qu'est-ce qu'un navigateur sûr ?

[NoobX]

Une fois de plus IE est dernier
Ha ok pour le coup c'est la bonne place

[deadalnix]

Attention, encore une fois, il faut comprendre ce qui est dit.

Déjà, ici, on compare le nombre de failles découvertes. Or il y a deux autres paramètres important à prendre en compte : la criticité des failles, ainsi que le temps pendant lesquelles elles sont effectives.

De plus, il n'est pas surprenant de trouver en tête des navigateurs libre (ou au moins en partie comme pour safari). En effet, sur un tel projet, toutes les failles sont connus de tous. dans le cas des projets proprio comme IE ou Opera, des failles sont corrigées en interne, et sans communication au public. Le chiffre s'en trouve donc réduit, non pas parce que les navigateurs sont plus sécurisés, mais bien parce qu'un grande partie de l'info n'est pas publiquement connue.

Bref, de la news à troll lancée par des soit disant expert en sécurité ayant besoin d'un bon coup de pub.

Il n'y a strictement rien à sortir d'intéressant des données présentées comme ceci.

[sevyc64]

Cenzic est une société qui fournit des solutions de sécurité.
....
Cenzic reste assez flou sur la méthode employée pour classer les navigateurs.

D'un autre coté, c'est pas non plus leur intérêt, peut-être, de dévoiler les ficelles de ce qui pourrait être finalement qu'un moyen de se faire de la pub.


Pourquoi, toujours ce type d'étude est fait par des sociétés intéressées qui ont tout intérêt à ce que les résultats ne soient pas excellents voire soient mauvais.

C'est pour quand les mêmes études mais vraiment indépendantes ???

[chemanel]

"Ce qui ne vous tue pas vous rend plus fort!"

Je pense que c'est le cas d'IE, il s'est fait attaqué pendant tellement de temps (du à sa place de numéro 1) qu'à force de se défendre il est devenu très sécurisé.

Maintenant, le nombre de faille et le temps de réaction... ça c'est autre chose...

[ni69]

Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

« Firefox, Le navigateur Web le plus sûr »
http://www.ni69.info/security-fr.php

[chemanel]

Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

« Firefox, Le navigateur Web le plus sûr »
http://www.ni69.info/security-fr.php

Très très bon article ni69 ! Je ne croyais pas que le problème était a ce point la ! C'est un vrai problème, que ça soit dans un réseau d'entreprise, ou dans une université, ou même un cybercafé... Il suffit d'installer une petite extension... et tu auras accès à tout ce que tout le monde fait, même étant à distance... de plus, la méthode "rootkit" rend ça indétectable... ou presque... En tout cas pas pour le commun des mortel...

Une raison en plus pour moi de la lourdeur croissante de Firefox de ne plus l'utiliser !

Finalement, la région wallone avait pas tord de se cantonner a IE

[BainE]

Cette vulnérabilité inhérente aux extensions n'est pas nouvelle...

Firefox a une telle image de "sécurité" aux yeux de ceux qui encouragent sa diffusion, qu'un problème apparaît lorsque tout le monde commence à installer des extensions dans tous les sens, en se disant que si le navigateur est sûr, il n'y aura aucun problème...

Voir pour cela mon article traitant de ce problème plus en détail, afin de peut-être convaincre les plus circonspects sur les résultats de cette étude...

« Firefox, Le navigateur Web le plus sûr »
http://www.ni69.info/security-fr.php

mais lol.

Pour pirater FF, connectez vous au préalable sur la machine que vous souhaitez attaquer ? Quel interet de faire ca si on a deja pénétré sur la machine ciblée ?

[nirgal76]

De plus, il n'est pas surprenant de trouver en tête des navigateurs libre (ou au moins en partie comme pour safari). En effet, sur un tel projet, toutes les failles sont connus de tous. dans le cas des projets proprio comme IE ou Opera, des failles sont corrigées en interne, et sans communication au public. Le chiffre s'en trouve donc réduit, non pas parce que les navigateurs sont plus sécurisés, mais bien parce qu'un grande partie de l'info n'est pas publiquement connue.

...et donc, étant plubliquement connues, ces failles n'en sont que plus dangereuses (dans le sens "elles risquent d'etre exploitées plus rapidement"). IE pourrait avoir 100 failles de plus, si elles ne sont connus qu'en interne, elles présentent moins de dangerosités. Donc d'un point de vue utilisateur, le navigateur libre avec 10 failles (connu du grand public) est plus dangereux que le proprio avec 100 failles (connus uniquement en interne). J'exagere exprès hein, sont tous aussi troués les uns que les autres.

Bref, de la news à troll lancée par des soit disant expert en sécurité ayant besoin d'un bon coup de pub.

Il n'y a strictement rien à sortir d'intéressant des données présentées comme ceci.

Je suis bien d'accord avec ça

[deadalnix]

...et donc, étant plubliquement connues, ces failles n'en sont que plus dangereuses (dans le sens "elles risquent d'etre exploitées plus rapidement").

Je crois que tu ne sais pas comment sont géré la plupart des failles.

La plupart du temps, elles sont découverte par des gens bien intentionnés ou bien gardées comme 0day. Elle ne sont que rarement publiées publiquement avant la correction.

Si ce sont les programmeurs qui la découvrent, ils la corrigent, et si les gens sont bien intentionnés, il en parlent aux dev.

Les programmeur corrigent la faille. Dans le cas d'un LL, cette faille va être rendu publique, après correction, alors que dans l'autre cas non.

On compare donc ici deux chiffres mais cela ne veux rien dire : ces chiffres ne mesurent pas la même chose.

[nirgal76]

Je crois que tu ne sais pas comment sont géré la plupart des failles.

La plupart du temps, elles sont découverte par des gens bien intentionnés ou bien gardées comme 0day. Elle ne sont que rarement publiées publiquement avant la correction.

Si ce sont les programmeurs qui la découvrent, ils la corrigent, et si les gens sont bien intentionnés, il en parlent aux dev.

Les programmeur corrigent la faille. Dans le cas d'un LL, cette faille va être rendu publique, après correction, alors que dans l'autre cas non.

On compare donc ici deux chiffres mais cela ne veux rien dire : ces chiffres ne mesurent pas la même chose.

Donc au final, la plupart du temps, peu importe le nombre de faille d'une appli, elles ne sont connues qu'une fois corrigées donc pas énormément dangereuses (puisque non exploitées) ? donc pour l'utilisateur final (de son point de vue), le nombre de faille n'est pas vraiment un critère de choix.
Tout cela à condition qu'il mette à jour très régulièrement son logiciel car une fois rendu publique, là pour le coup, ça devient dangereux.

[Gordon Fowler]

Sécurité : Firefox victime de ses extensions
Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur


En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.

Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.

Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont permis à un cheval de Troyes de pénétrer les machines de'utilisateurs de Firefox (NB : seul Windows est concerné).

Les deux add-ons incriminés s'appellent Sothink Web Video Downloader 4.0 et Master Filer.

On estime à 1.600 le nombre de personnes infectées. Mais ce chiffre de prend pas en compte ceux qui se ont pu se procurer les deux extensions via d'autre sources de téléchargement.

La menace reste donc assez limitée. Le faible chiffre s'explique par le fait que ces deux add-ons étaient catalogués dans comme « expérimentaux ». Elle met néanmoins à jour les failles du système de sécurité de Mozilla et de sa galerie d'extensions.

Chaque extension proposée sur le site de téléchargement officiel est soumis à un scan. Ce fut bien le cas de Sothink Web Video Downloader 4.0 et Master Filer mais les anti-virus de Mozilla n'avaient rien détecté de particulier.

« Les outils de scans ont échoué à détecter ce Trojan dans MasterFile. Deux autres outils de détection ont donc été ajoutés dans la chaine de validation et tous les add-ons ont été analysés à nouveau, ce qui a permis de révéler un autre Trojan dans la version 4.0 de Sothink Web Video Downloader. Aucune autre trace de malware n'a été découverte ».

Ce qui ne veut pas dire qu'il n'y en a pas...

Mozilla recommande de désinstaller Sothink Web Video Downloader 4.0 et Master Filer sur-le-champ, puis d'effectuer une analyse avec un anti-virus.

L'histoire ne dit pas si la Fondation enverra une message aux utilisateurs concernés ou si elle se contentera de communiquer sur son blog et sur des sites spécialisés.

MasterFile semble l'œuvre d'un développeur isolé. Quant à Sothink Web Video Downloader 4.0 il est le fruit du travail d'une entreprise tout à fait normale. Pour la Chine, s'entend.

Les version ultérieure de Sothink Web Video Downloader sont toujours disponibles sur le site de Mozilla.

Après, c'est à vous de voir.


Source : Le billet de Mozilla sur la découverte de la menace

Et vous ?

D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
Comment la Fondation Mozilla pourrait-elle améliorer la sécurité des add-ons ?

[ILP]

C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
Une simple analyse anti-virus automatique ne suffit pas .
Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu .

[Gordon Fowler]

C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.
Une simple analyse anti-virus automatique ne suffit pas .
Apparrement les add-ons étaient disponible depuis septembre 2009, dommage que les développeurs ainsi que la communauté d'utilisateurs n'ai rien vu .

Oui, et c'est bien là le point névralgique.

D'habitude libre = ouvert = sécu... sauf que là, il semble qu'il n'y ait pas assez de monde pour regarder tout ça.

Ce qui pose la question de savoir si "trop d'extensions ne tuent pas les extensions" ?...

[Uther]

C'est peut-être dur à mettre en place, mais rien ne vaut la vérification humaine des sources des add-ons mis à disposition.

Tout simplement irréalisable. Tu imagines le travail que ça serait d'auditer le code de chaque extension? D'autant plus que ca serait certainement contournable en laissant des failles discrètes.

[teddyalbina]

Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++

[Gordon Fowler]

Mozilla s'est trompée sur les extensions malicieuses de Firefox
Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?


La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).

"Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.

Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.

"Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.

A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.

Un de bon, un de faux, donc.

Et toujours le même point faible pour la sécurité de Firefox.


Source : Le billet sue le blog de Mozilla


Et vous ?

D'après vous, quelle est la meilleure solution pour que les extensions de Firefox soient sécurisées ? Et que dans le même temps elles ne soient pas accusées à tort d'être des malwares ?