Il ne s’agit pas d’un problème très original en soi, étant donné que le Web regorge de sites malveillants. La particularité ici est que des acteurs malveillants ont exploité un bogue de Firefox que les ingénieurs de Mozilla ne semblent pas avoir corrigé dans les 11 années qui ont suivi les premiers signalements en avril 2007.À l’époque, le problème avait été découvert au sein des principaux navigateurs et il a déjà été corrigé sur Internet Explorer (qui est désormais Microsoft Edge) ainsi que Chrome.
L'exploit du navigateur tire parti de l'intégration d'un iframe dans le code source de sites Web malveillants. L'iframe malveillant utilise des demandes d'authentification HTTP sur d'autres domaines et présente les sites Web malveillants comme « authentiques », ce qui rend difficile la différenciation entre les sites Web réels et les sites Web factices.
Les acteurs malveillants se servent de cette faille pour des escroqueries liées au support technique, des fermes de publicité qui rechargent la page en boucle avec de nouvelles annonces, des pages qui poussent les utilisateurs à acheter de fausses cartes-cadeaux ou encore des sites proposant des mises à jour malveillantes de logiciels.
Chaque fois que les utilisateurs tentent de partir, une invite d’authentification est déclenchée dans une boucle. Chaque fois que l'utilisateur annule, une nouvelle requête est émise et une nouvelle invite apparaît, le gardant ainsi captif jusqu'à ce qu'il ferme complètement le navigateur et qu'il soit obligé de démarrer une nouvelle session de navigation.
Microsoft a réussi à atténuer ce problème en permettant un délai important entre les invites d'authentification; les utilisateurs disposent de suffisamment de temps pour fermer les onglets malveillants. De son côté, Google a rendu les invites d'authentification exclusives à chaque onglet. Cela signifie que les boîtes de dialogue persistantes d'authentification se contentent de bloquer l'onglet et non le navigateur en entier. Cela permet ainsi à l'utilisateur de fermer facilement l'onglet abusif.
Mozilla, pour sa part, a essayé plusieurs solutions, mais aucune d’entre elles n’a été particulièrement efficace. Résultat ? Un utilisateur a signalé le même problème samedi dernier. Celui ci a atterri sur l'un de ces sites louches qui a tenté de le forcer à installer une extension suspecte de Firefox.
Envoyé par Utilisateur Firefox
Lorsque je naviguais sur un site, une fenêtre de publicité s’est affichée, l’adresse de la page commençait par http://mainlink.cool/
Au début, je pensais qu’il s’agissait juste d’un site de publicité ennuyeux. Aussi, j’ai voulu le fermer, cependant je n’ai pas réussi.
La page s’est ouverte en mode plein écran. Avec certaines fausses boîtes de dialogues Windows (j'utilise Linux, donc je sais qu’elles sont fausses). Elle a essayé de [me forcer] à installer ses extensions. J’ai donc appuyer sur ESC pour quitter le mode plein écran. J’ai cliqué sur le bouton de fermeture de l'onglet ou de la fenêtre, mais cela n’a pas fonctionné car elle contenait cette boîte de dialogue de connexion. J’ai cliqué sur le bouton de fermeture de la boîte de dialogue de connexion ou sur le bouton d'annulation. La boîte de dialogue est apparue à nouveau. Encore une fois, j’ai cliqué sur le bouton Ne pas autoriser sur la boîte de dialogue proposant de télécharger l’extension, mais cela n’a pas semblé fonctionner. J'ai donc décidé de mettre fin au processus Firefox, c’était la seule solution pour moi.
Au début, je pensais qu’il s’agissait juste d’un site de publicité ennuyeux. Aussi, j’ai voulu le fermer, cependant je n’ai pas réussi.
La page s’est ouverte en mode plein écran. Avec certaines fausses boîtes de dialogues Windows (j'utilise Linux, donc je sais qu’elles sont fausses). Elle a essayé de [me forcer] à installer ses extensions. J’ai donc appuyer sur ESC pour quitter le mode plein écran. J’ai cliqué sur le bouton de fermeture de l'onglet ou de la fenêtre, mais cela n’a pas fonctionné car elle contenait cette boîte de dialogue de connexion. J’ai cliqué sur le bouton de fermeture de la boîte de dialogue de connexion ou sur le bouton d'annulation. La boîte de dialogue est apparue à nouveau. Encore une fois, j’ai cliqué sur le bouton Ne pas autoriser sur la boîte de dialogue proposant de télécharger l’extension, mais cela n’a pas semblé fonctionner. J'ai donc décidé de mettre fin au processus Firefox, c’était la seule solution pour moi.
Source : BugZilla
Et vous ?
Avez-vous déjà rencontré un site Web qui se comporte de la sorte sur Firefox ? Mozilla devrait-il adopter la méthode de Microsoft, celle de Google, ou partir sur une méthode qui lui serait propre ?Voir aussi :
Google décide d'accélérer la fermeture de Google+ après la découverte d'un nouveau bogue, qui affecte les informations de 52 millions d'utilisateurs PB 5.70 LTS : La bêta 4 est disponible sur votre compte avec des corrections de bogues et la doc française à jour. Les employés Apple Store US ne sont pas autorisés à utiliser des mots comme bogue, car les produits ne doivent pas être vus comme source du problème Des services Azure cloud de Microsoft inaccessibles en Europe, Asie et Amérique pendant 14 h à cause de 3 bogues dans son service d'authentification Windows 10 October 2018 : de nouveaux bogues font surface dans Media Player et les app Win32 en général après la reprise du déploiement de l'update 
