Une faille de Firefox permet de récupérer des logins et mots de passe
La vulnérabilité touche le module de gestion des mots de passe du navigateur.
Internet Explorer est aussi affecté dans une moindre mesure.
Selon Chapin Information Services (CIS), Firefox serait victime d’une faille de sécurité critique qui touche toutes le versions du navigateur, y compris la récente 2.0. Selon le prestataire high-tech, Firefox présenterait des vulnérabilité au niveau de la gestion des login et mots de passe. Un trou de sécurité que CIS a baptisé Reverse Cross-Site Request (RCSR).
Le navigateur propose en effet un module qui permet d’enregistrer les comptes de connexion à des sites. Ce qui évite d’avoir à les ressaisir à chaque fois que l’on visite un service nécessitant un identifiant de connexion (webmail, blog, site marchand…). Selon CIS, qui met en ligne une page de démonstration, il est possible de capturer ces identifiants à partir d’un service permettant des personnalisations HTML de la page (blogs et forums essentiellement). Internet Explorer est également concerné mais dans une moindre mesure puisqu’il ne propose pas le remplissage automatique des formulaires.
Module antiphishing inefficace
Ces types d’attaques RCSR ont déjà été recensées du côté des services populaires comme MySpace. Selon CIS, « l’attaque RCSR a des chances de réussir parce que ni Internet Explorer ni Firefox ne sont conçus pour vérifier la destination des données de formulaire avant que l’utilisateur ne les soumette. Les utilisateurs voient une adresse Web de confiance dans la barre d’adresse parce que l’exploitation [de la vulnérabilité] s’effectue sur le site de confiance. » Cet exploit (faille potentiellement exploitable) est possible en cliquant sur un lien caché dans une image ou une vidéo. Du coup, les modules anti-phishing des navigateurs s’avèrent inopérants.
La Fondation Mozilla a confirmé la vulnérabilité qui sera corrigée dans une version 2.0.0.1 ou 2.0.0.2 du navigateur. La découverte de la faille remonterait au 12 novembre 2006. Microsoft a déclaré à CIS être conscient du problème mais n’a pas souhaité apporter de commentaire quant à ses éventuels correctifs. En attendant, méfiance. Il est conseillé de désactiver sur Firefox la fonction d’enregistrement de saisie automatiques des comptes de connexion.