Firefox : le navigateur le plus vulnérable ?
Une étude jette le doute sur le navigateur libre

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 11/02/10
NB : Les commentaires sur cette mise à jour commencent ici dans le topic

Mozilla s'est trompée sur les extensions malicieuses de Firefox
Une seule serait effectivement un malware : comment sécuriser efficacement les add-ons ?

La Fondation Mozilla vient de faire savoir qu'elle avait commis une (grosse) erreur en accusant à tort une extension d'être un cheval de trois (lire ci-avant).

"Sothink Web Video Downloader 4.0" avait été qualifiée de malware après que la Fondation a décidé de scanner la totalité des add-ons proposés officiellement pour Firefox. Un scan plus poussé, lié à un changement d'antivirus, avait ainsi montré que cette extension, ainsi que Master Filer, cachaient des applications malicieuses.

Aujourd'hui, Mozilla fait machine arrière. Sothink Web Video Downloader serait une extension tout ce qu'il y a de plus normale.

"Nous avons travaillé avec des experts et des développeurs d'extensions qui ont déterminé que le Cheval de Troie que nous avions cru détecté dans la version 4.0 de Sothink Video Downloader était un faux positif et que l'extension ne contenait aucun malware" explique Mozilla sur son blog officiel.

A contrario, Master Filer - l'autre extension exclue de la galerie - contient bien un Trojan.

Un de bon, un de faux, donc.

Et toujours le même point faible pour la sécurité de Firefox.

Source : Le billet sue le blog de Mozilla

Et vous ?

D'après vous, quelle est la meilleure solution pour que les extensions de Firefox soient sécurisées ? Et que dans le même temps elles ne soient pas accusées à tort d'être des malwares ?

MAJ de Gordon Fowler

Mise à jour du 05/02/10
NB : Les commentaires sur cette mise à jour commencent ici dans le topic

Sécurité : Firefox victime de ses extensions
Mozilla reconnaît avoir échoué à détecter des malwares dans la galerie d'add-ons officiels de son navigateur

En matière de sécurité, il existe deux types d'extensions pour Firefox : celles proposées sur le site officiel des add-ons et celles que l'utilisateur peut installer à ses risques et périls.

Une étude assez critiquée avait mis en avant le gros problème d'insécurité de ce deuxième type d'extensions qui peuvent sortir de nulle part (lire ci-avant).
Certes les auteurs étaient allés un peu loin en affirmant que le navigateur de Mozilla était le « plus vulnérable » mais ils avaient mis le doigt sur un gros point faible.

Aujourd'hui on apprend que ce ne sont pas des extensions officieuses mais bien des extensions du tronc officiel qui ont... [Lire la suite]

Et vous ?

D'après vous, les extensions, qui ont fait le succès de Firefox, peuvent-elles lui être fatal avec les problèmes de sécurité qu'elles introduisent ?
Comment la Fondation Mozilla pourrait-elle améliorer la sécurité des add-ons ?

MAJ de Gordon Fowler

Firefox : le navigateur le plus vulnérable ?
Une étude affirme que Firefox serait à l'origine de 44 % des vulnérabilités de tous les navigateurs

Cenzic est une société qui fournit des solutions de sécurité. Elle s'est donc sans surprise penchée sur les vulnérabilités des navigateurs recensées sur le premier semestre 2009.

La surprise, elle, vient des résultats de l'étude. Firefox aurait été à l'origine de 44 % des vulnérabilités de tous les navigateurs. En deuxième position arrive Safari (35 %) puis Internet Explorer (15 %). Opera arrive bon dernier – la meilleure place donc – avec seulement 6 % des vulnérabilités.

Le PDG de Cenzic explique et relativise ce résultat à contrecourant des idées reçues.

Pour lui la popularité grandissante du Panda Roux explique l'augmentation de son exposition aux menaces. A contrario Opera est plus à l'abri de l'attention des hackers.

D'autre part, le navigateur lui-même serait très sûr. Ce n'est pas le cas des plug-ins et des extensions.

Les plug-ins tout d'abord, que les utilisateurs prennent trop de temps à mettre à jour (quand ils le font). Pour y remédier, Mozilla a mis en place une page de détection qui invite à les updater en cas de besoin. Cette fonction sera intégrée en natif dans les prochaines versions de Firefox et devrait donc logiquement faire baisser son score "de vulnérabilité" dans la prochaine étude.


Process satirique "Browser Debugging in a Nutshell"

Les extensions ensuite. Ces programmes qui ajoutent des fonctionnalités au navigateur ont fait son succès. Revers de la médaille, Mozilla ne peut (et n'a jamais voulu) contrôler leur sécurité. Certaines sont certifiées certes, mais les autres, malgré les messages d'alerte, peuvent être installées et ouvrir des failles.

Cenzic reste assez flou sur la méthode employée pour classer les navigateurs. Car si Firefox possède le plus grand nombre de vulnérabilités recensées, le PDG de la société souligne pourtant que ses utilisateurs ne seraient pas pour autant les plus vulnérables...

Aucun mot, non plus, sur les délais et les temps de réaction entre la découverte d'une faille et son patch.

Cenzic précise également que ses solutions de sécurité utilisent des technologies de Mozilla.

Une légère crainte d'être accusé d'instrumentalisation surtout après que le gouvernement Wallon a banni Firefox de ses institutions pour imposer l'usage exclusif d'Internet Explorer 6 ?

Source : L'étude de Cenzic

Lire aussi :

Firefox met de plus en plus à mal l'hégémonie d'Internet Explorer

Firefox victime d'une faille de sécurité ouverte par Windows Update, Microsoft reconnait qu'un plug-in pour .NET est concerné

Firefox vers une nouvelle Interface Utilisateur : bilan des évolutions en cours

La rubrique Développement Web (forum, actus, tutos)

Et vous ? :

Que pensez-vous des résultats de cette étude ? Vous étonnent-ils ?
Pour vous qu'est-ce qu'un navigateur sûr ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 11/02/2010 à 20:18
Citation Envoyé par teddyalbina  Voir le message
Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++

Tout les concepts utilisés dans les navigateurs modernes (sandbox, séparation multiprocess, etc) sont possible en .NET. Mais il manque quelque chose de taille : un moteur de rendu.

Là, il n'y a en gros que IE et Gecko que l'on peut utiliser, et ce sont des moteurs en C/C++ ...
Avatar de teddyalbina teddyalbina - Membre confirmé http://www.developpez.com
le 13/02/2010 à 22:50
Citation Envoyé par smyley  Voir le message
Tout les concepts utilisés dans les navigateurs modernes (sandbox, séparation multiprocess, etc) sont possible en .NET. Mais il manque quelque chose de taille : un moteur de rendu.

Là, il n'y a en gros que IE et Gecko que l'on peut utiliser, et ce sont des moteurs en C/C++ ...



Et alors il est possible de sécurisé tout ça avec créant un pont avec le moteur de rendu avec C++/CLi du tout les problèmes resteraient au niveau de moteur sans pourvoir remonter par opération du saint esprit.

De tout façon la bibliothèque C est une passoire donc vive dotnet .

Bon soyons fou ça tente quelqu'un un projet DOTNET au dessus de Webkit ?
Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 15/02/2010 à 10:44
Quelles sont exactement les extensions "officielles" à Firefox? Car mêmes celles disponibles sur le catalogue intégré et passant par addons.mozilla.org sont marqués "auteur non vérifié" sur la boîte de dialogue d'installation...
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 15/02/2010 à 16:01
Pour le moment, il n'y a aucune extension réellement officielle.

Même les extensions issues du Mozilla Labs (Weave, Prism, ...) et donc activement soutenues et/ou développées par Mozilla, ne sont pas considérées comme des extensions officielles. Cependant on peut reconnaitre une certaine légitimité aux extensions disponibles sur le site officiel des add-ons Mozilla.
Avatar de thelvin thelvin - Modérateur http://www.developpez.com
le 16/02/2010 à 19:17
Citation Envoyé par teddyalbina  Voir le message
Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++

L'isolation permettrait de détecter plus facilement qu'un addon fait quelque chose qu'il n'est pas censé avoir besoin de faire, ce qui, en soi, suffirait à éveiller des soupçons chez les connaisseurs, et simplifierait la détection de malwares par la communauté.

Mais, isolé de tout, accès à rien, ça veut dire utile à rien. Donc un isolement complet n'est pas souhaitable, et ce n'est pas une solution magique, juste un cran de sécurité de plus.

A-t-on vraiment envie d'investir autant pour un simple cran de sécurité de plus, sans chercher avant s'il n'y a pas une solution moins envahissante ?
Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 16/02/2010 à 23:54
Toi tu connais pas les AppDomains

L'idée des domaines d'applications en .NET c'est contrôler les autorisations précises du code exécuté au sein de ce domaine, mais de pouvoir quand même communiquer avec les autres domaines via des moyens que l'on doit (si c'est bien conçu) exposer de façon explicite.

Donc le plugin, on le maîtrise tout en lui laissant accès à ce que l'on veux bien au cas par cas.
Avatar de thelvin thelvin - Modérateur http://www.developpez.com
le 17/02/2010 à 11:28
Citation Envoyé par smyley  Voir le message
Toi tu connais pas les AppDomains

En effet, mais pas besoin. Une sécurité par confinement est une sécurité par confinement. Ce n'est qu'un bac à sable évolué. Elles ont toutes grosso-modo les mêmes avantages et les mêmes inconvénients théoriques.

Ce que tu m'expliques est très beau... Mais je ne vois pas en quoi je ne l'ai pas abordé dans ce que j'ai dit.
Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 17/02/2010 à 22:19
Citation Envoyé par thelvin  Voir le message
Ce que tu m'expliques est très beau... Mais je ne vois pas en quoi je ne l'ai pas abordé dans ce que j'ai dit.

Citation Envoyé par thelvin  Voir le message
Mais, isolé de tout, accès à rien, ça veut dire utile à rien.
[...]

A-t-on vraiment envie d'investir autant pour un simple cran de sécurité de plus, sans chercher avant s'il n'y a pas une solution moins envahissante ?

Bon alors, si on est d'accord sur le fait qu'un bac à sable ne signifie pas "isolé de tout, accès à rien, ça veut dire utile à rien", en quoi est-ce envahissant ?

Si un plugin est censé n'accéder qu'à l'interface, en quoi est-ce envahissant de le laisser accéder uniquement à l'interface ? Pour les plugins normaux c'est bon, pour les malwares sur ce côté là on est au pied du mur : même si un système sans faille n'existe pas, sur le coup le bac à sable est une solution extrêmement efficace.

Et tout le monde "semble" converger vers l'isolation des processus / tâches / etc., il ne s'agit pas d'un simple "cran de sécurité en plus", mais bien d'une autre approche de l'exécution des programmes qui tend à se généraliser.
Avatar de thelvin thelvin - Modérateur http://www.developpez.com
le 18/02/2010 à 10:12
Citation Envoyé par smyley  Voir le message
Bon alors, si on est d'accord sur le fait qu'un bac à sable ne signifie pas "isolé de tout, accès à rien, ça veut dire utile à rien", en quoi est-ce envahissant ?

Ben déjà c'est plus envahissant que de ne pas en avoir, forcément .

Mais je ne parlais pas d'avoir un bac à sable en général, je parlais du fait de partir direct vers la solution C#. J'appelle ça envahissant parce qu'à moins que je me trompe, Mozilla n'avait pas de dépendance centrale à .net.

Si un plugin est censé n'accéder qu'à l'interface, en quoi est-ce envahissant de le laisser accéder uniquement à l'interface ?

Oui non mais c'est pas ça que j'ai dit.

Mais servons-nous de cet exemple pour illustrer : des addons qui n'ont accès qu'à l'interface, bon il y en a c'est vrai... Mais il y en a combien, et est-ce que c'est vraiment une partie significative à étudier ?
Les addons utiles ont tendance à communiquer au moins ce qu'ils récupèrent sur le client, à Internet. C'est suffisant pour voler des cartes bleues.

Et tout le monde "semble" converger vers l'isolation des processus / tâches / etc., il ne s'agit pas d'un simple "cran de sécurité en plus", mais bien d'une autre approche de l'exécution des programmes qui tend à se généraliser.

Pas une raison pour partir sur C# sans réfléchir si une solution ad hoc n'est pas plus adaptée, mais sinon oui, je suis d'accord.
Avatar de smyley smyley - Expert éminent http://www.developpez.com
le 18/02/2010 à 10:22
Citation Envoyé par thelvin  Voir le message
je parlais du fait de partir direct vers la solution C#. J'appelle ça envahissant parce qu'à moins que je me trompe, Mozilla n'avait pas de dépendance centrale à .net.

Au départ, c'était une réponse à ce message

Citation Envoyé par teddyalbina  Voir le message
Bah coder un nav en dotnet, avec chaque plugin isolé de l'hote dans un appdomain et zappé C++

Mozilla n'a aucun intérêt à développer en .NET vu qu'il vise des environnements beaucoup plus vaste avec une solution qui remonte jusqu'à Netscape (bien avant .NET).

Mais toutes les techniques d'isolation peuvent être utilisées en .NET, d'ailleurs il serait marrant de voir un browser en .NET utilisant Mono pour les autres plateformes (bah quoi ? apparemment c'est la mode ces temps ci de créer des nouveaux navigateurs & os )

Citation Envoyé par teddyalbina  Voir le message
Mais servons-nous de cet exemple pour illustrer : des addons qui n'ont accès qu'à l'interface, bon il y en a c'est vrai... Mais il y en a combien, et est-ce que c'est vraiment une partie significative à étudier ?
Les addons utiles ont tendance à communiquer au moins ce qu'ils récupèrent sur le client, à Internet. C'est suffisant pour voler des cartes bleues.

Et ? c'était un exemple.

On peut isoler les addons entre eux, leur permettre d'accéder à certaines parties de l'application mais pas à d'autre, ou de communiquer entre eux, etc.

Après, pour les addins nécessitant d'avantage d'autorisations, demande à l'utilisateur s'il lui fait confiance, etc.

Ce système est utilisé sur les OS maintenant (UAC, sudo je sais plus quoi, etc.) mais arrive aux navigateurs.
Avatar de thelvin thelvin - Modérateur http://www.developpez.com
le 18/02/2010 à 13:29
Pas d'objection, votre honneur.

Je remettais juste en cause l'idée de se concentrer sur C# pour ça au lieu d'une solution maison ou indépendante, juste parce que C# fournit un système d'isolement sûrement très efficace, pratique et probablement vite fait.
Offres d'emploi IT
Scrum master h/f
CANAL TP - Ile de France - Paris 75012
Expert php
OPEN WIDE - Ile de France - Lyon (69000)
Consultant intégrateur ERP CEGID - H/F
KONICA MINOLTA BUSINESS SOLUTIONS France - Rhône Alpes - Lyon (69000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil