vendredi 30 juillet 2004
Risques d’imitations criminelles de sites dans Mozilla et Firefox
Snap de l’équipe du portail Geckozone écrit : « Une utilisation malicieuse du langage de programmation XUL pourrait permettre à des personnes malintentionnées d’afficher une fausse page de votre banque ou tout autre site nécessitant l’entrée de données sensibles. »
« Ce n’est pas une faille XUL à proprement parler, seulement une utilisation du moteur. Ne vous affolez pas, des failles il y en aura d’autres, surtout si Firefox devient populaire. Soyez prudents, la meilleure des sécurités n’est pas dans votre pare-feu, anti-virus ou navigateur mais dans votre cerveau. »
Secunia classe cette vulnérabilité comme « modérément critique » et indique qu’elle concerne toutes les versions de Mozilla jusqu’à la 1.7.1 et toutes les versions de Firefox qui culminent actuellement à la 0.9.2. L’alerte renvoie aux bogue 244965 et bogue 252198 pour Firefox. Vous pouvez afficher une démonstration dans Firefox 0.9.x ou les dernières nocturnes et voir une capture d’écran. Vous pouvez ainsi remarquer qu’il est possible d’imiter une fenêtre du navigateur avec une fausse barre d’adresse et ses identifications de sécurité. N’importe quelle boîte de dialogue peut être imitée comme celles permettant aux internautes de s’assurer de l’identité réelle d’un site Web, par exemple de faux certificats de sécurité.
Le site falsifié n’a aucun moyen de connaître les préférences de l’utilisateur donc de mimer les personnalisations de son navigateur comme le choix de la taille des icônes, leur nombre, leur ordre, le thème appliqué, la barre personnelle des marque-pages, les extensions installées, etc. Si vous ne permettez pas que votre navigateur s’ouvre dans plusieurs fenêtres mais uniquement en mode fenêtre unique — comme le permet, par exemple, l’extension Tabbrowser qui existe en français pour Mozilla et Firefox — le faux navigateur ou la fausse boîte s’affichera dans un onglet entouré par votre interface habituelle.
Plus de précisions peuvent être trouvées sur Linuxfr.org et dans une discussion des forums de MozillaZine.