Très populaires chez les internautes, les extensions Firefox permettent d’ajouter des fonctionnalités pratiques au navigateur : télécharger des vidéos, accéder à sa base de données de mots de passe, bloquer des publicités, etc. Mais ces ajouts logiciels introduisent aussi une vulnérabilité que deux chercheurs en sécurité viennent de présenter à l’occasion de la conférence BlackHat Asia 2016.
Baptisée « Extension-reuse vulnerability », elle permet à une extension malveillante d’utiliser en douce les fonctionnalités des autres extensions installées : télécharger un fichier, ouvrir un site web, accéder aux fichiers de la machine, etc. Elle repose sur le fait que les extensions Firefox ne sont pas suffisamment isolées les unes des autres, une fois qu’elles sont installées dans le navigateur. Cela s’explique par la technologie sous-jacente, qui est très permissive (XPCOM, Cross Platform Component Object Model).
Cette faille est d’autant plus pernicieuse qu’elle permet à l’attaquant de ne pas sonner l’alarme chez Mozilla, qui analyse systématiquement les extensions avant de les publier sur « Add-ons », sa place de marché pour extensions Firefox. En effet, pour réaliser son attaque, l’extension malveillante n’a pas besoin d’intégrer de fonctionnalité sensible dans son code. Elle parait donc totalement inoffensive. A titre de démonstration, les chercheurs ont publié sur Mozilla Add-Ons une extension baptisée « ValidateThisWebsite » qui, en apparence, permet de valider un site web, mais en arrière-plan elle essayera de se connecter sur le célèbre bloqueur de scripts NoScript pour ouvrir une page web. Au final, leur extension a passé sans difficulté l’analyse complète de Mozilla (« full review »).
Les chercheurs ont ensuite voulu savoir combien d’extensions Firefox étaient vulnérables et ont, pour cela, développé un logiciel d’analyse automatique baptisé CrossFire. Résultat : sur les 10 extensions Firefox les plus téléchargées, seule une n’est pas vulnérable, à savoir « AdBlock Plus ». Le degré de vulnérabilité est varié : certaines ne présentent que quelques fonctions vulnérables, d’autres plusieurs dizaines. Pour « Web of Trust » et « VideoDownloadHelper », les chercheurs ont découvert respectivement 33 et 15 vulnérabilités de type « Extension reuse ».
Mais il n’y a pas que la Top 10 qui est impacté. Cette vulnérabilité semble être présente dans un grand nombre d’extensions. En faisant l’analyse des 2000 extensions les plus téléchargées, les chercheurs ont dénombré plus de 3000 vulnérabilités. Que peut-on faire pour se protéger ? Aucun patch n’est disponible. Comme il s’agit d’une faille structurelle, il faudrait que Mozilla change la manière dont les extensions sont intégrées au niveau du navigateur.
Ça tombe bien : en août dernier, la fondation avait annoncé qu’elle allait adopter le modèle d’extensions de Chrome, qui est plus sécurisé de ce point de vue. Actuellement, ce nouveau modèle – baptisé « WebExtensions » – est en version alpha. En attendant, il est conseillé de ne pas télécharger d’extension dont l’auteur n’est pas connu.
Source :
Etude des chercheurs en sécurité
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.