Firefox, ou le MSIE du futur ?
Par jop le vendredi, août 22 2008, 07:21 - Sécurité - Lien permanent
Mon ami et camarade Daniel Reynaud vient enfin d'ouvrir un blog. Daniel est chercheur en sécurité, principalement orienté sur les problèmes de malware et de virus. Nous avons eu l'occasion de nous revoir lors du SSTIC'08, Daniel, donnant tout comme moi, une rump. Le sujet abordé était la sécurité des extensions Mozilla Firefox.
Après quelques contacts avec Tristan, que je connais par mes activités dans le libre, nous avons pu faire ouvrir un bug sur le bugzilla du logiciel. Vous pourrez retrouver toute l'information sur ce problème sous le numéro 442153.
Daniel et son collaborateur remontaient différents problèmes :
- l'intégrité des modules complémentaires n'est pas vérifiée après l'installation de ces derniers, c'est à dire que ceux-ci peuvent être modifiés après installation sans que l'utilisateur ne soit mis au courant (ni même le logiciel),
- les modules complémentaires peuvent être installés par n'importe quelle application tierce,
- un module complémentaire peut être supprimé de la liste des modules installés sans pour autant être supprimé ou desactivé,
- les modules complémentaires peuvent refuser au gestionnaire de module leur désinstallation.
Ceci étant, en combinant les différents choix, nous obtenons une belle exploitation pour un malware ou un virus, qui se voit l'opportunité d'avoir une place au chaud avec de bonnes combinaisons (accès aux mots de passe de l'application, accès à internet via l'aplication, ...). La question semble donc relativement sérieuse.
Voici les réponses apportées par l'équipe en charge des problèmes de sécurité de Mozilla Firefox :
- certains modules ont besoin de modifier des fichiers après leur installation, il est donc impossible de restreindre cette
fonctionnalité
. Il semble même étrange que l'on souhaite restreindre les droits d'écriture d'un module à son strict répertoire., - c'est tout de même bien pratique que skype puisse installer un module sans l'intervention de l'utilisateur,
- la correction sera peut être apportée dans Mozilla Firefox 4,
- c'est une mauvaise configuration du module (?) qui a des droits complets sur le système.
Au-delà des problèmes réels soulevés, je trouve que la réponse est un peu rapide et légère. Pourquoi ? Parce que les reproches qui ont été fait par le passé à ActiveX se retrouvent également ici. Une trop grande permissivité permet à un attaquant d'atteindre de manière plus rapide son but. Ainsi, la sécurité est encore une fois sacrifiée pour la sacro sainte utilisabilité.
Attention cependant, on dit que l'avenir de la bureautique
ou du poste de travail se transfère des systèmes d'exploitation vers les navigateurs. Avec de tels choix de design et de réaction, il sera intéressant de suivre l'évolution des malwares et virus désirant choisir ces biais, cela pourrait donner de belles choses (une pensée émue pour MS Blaster ;))
Commentaires
Hola jp, ça c'est ce qui s'appelle un post qui résume bien la situation !
J'ai été assez surpris par les réponses des gens (développeurs ?) de Mozilla, qui vont de la désinvolture complète ("it's too general to produce actionable results") à une analyse complète de Dave Townsend.
D'ailleurs Dave rajoute même dans le point 2. que non seulement c'est possible et voulu que les extensions soient installées sans problème par des applications tierces, mais en plus pour être malicieux c'est plus simple d'aller rajouter du code dans les répertoires chrome et components que d'ajouter une extension. Ce que je confirme complètement (encore une fois, ça permet de coder un malware cross-platform en javascript qui a accès à des API natives).
Petite correction pour le point 4. : leur réponse est que si les extensions peuvent refuser d'être désinstallées, c'est parce que de toute façon elles ont accès complet au système.
Autre détail amusant que l'on n'a pas précisé: comment on fait pour virer une extension malicieuse qui refuse d'être désinstallée ? Joe User va se dire qu'il suffit de réinstaller Firefox... eh bien non, même en désinstallant et réinstallant Firefox on garde les extensions qui sont stockées dans un répertoire séparé. Moi je vous dis que c'est le malware du futur ;)