Mon ami et camarade [Daniel Reynaud|http://indefinitestudies.wordpress.com/] vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du [SSTIC'08|http://www.sstic.org], Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox. Après quelques contacts avec [Tristan|http://www.standblog.org], que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro [442153|https://bugzilla.mozilla.org/show_bug.cgi?id=442153]. Daniel et son collaborateur remontaient différents problèmes : # l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel), # les modules complémentaires peuvent être installés par n'importe quelle application tierce, # un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé, # les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation. Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse. Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox : # certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette {{fonctionnalité}}. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire., # c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur, # la correction sera peut être apportée dans Mozilla Firefox 4, # c'est une mauvaise configuration du module (?) qui a des droits complets sur le système. Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité. Attention cependant, on dit que l'avenir de la {{bureautique}} ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))