Pour gérer vos consentements :
Categories: Cloud

Une faille de Firefox permet de récupérer des logins et mots de passe

Selon Chapin Information Services (CIS), Firefox serait victime d’une faille de sécurité critique qui touche toutes le versions du navigateur, y compris la récente 2.0. Selon le prestataire high-tech, Firefox présenterait des vulnérabilité au niveau de la gestion des login et mots de passe. Un trou de sécurité que CIS a baptisé Reverse Cross-Site Request (RCSR).

Le navigateur propose en effet un module qui permet d’enregistrer les comptes de connexion à des sites. Ce qui évite d’avoir à les ressaisir à chaque fois que l’on visite un service nécessitant un identifiant de connexion (webmail, blog, site marchand…). Selon CIS, qui met en ligne une page de démonstration, il est possible de capturer ces identifiants à partir d’un service permettant des personnalisations HTML de la page (blogs et forums essentiellement). Internet Explorer est également concerné mais dans une moindre mesure puisqu’il ne propose pas le remplissage automatique des formulaires.

Module antiphishing inefficace

Ces types d’attaques RCSR ont déjà été recensées du côté des services populaires comme MySpace. Selon CIS, « l’attaque RCSR a des chances de réussir parce que ni Internet Explorer ni Firefox ne sont conçus pour vérifier la destination des données de formulaire avant que l’utilisateur ne les soumette. Les utilisateurs voient une adresse Web de confiance dans la barre d’adresse parce que l’exploitation [de la vulnérabilité] s’effectue sur le site de confiance. » Cet exploit (faille potentiellement exploitable) est possible en cliquant sur un lien caché dans une image ou une vidéo. Du coup, les modules anti-phishing des navigateurs s’avèrent inopérants.

La Fondation Mozilla a confirmé la vulnérabilité qui sera corrigée dans une version 2.0.0.1 ou 2.0.0.2 du navigateur. La découverte de la faille remonterait au 12 novembre 2006. Microsoft a déclaré à CIS être conscient du problème mais n’a pas souhaité apporter de commentaire quant à ses éventuels correctifs. En attendant, méfiance. Il est conseillé de désactiver sur Firefox la fonction d’enregistrement de saisie automatiques des comptes de connexion.

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago