Depuis longtemps la technologie propriétaire de Microsoft ActiveX, est pointée du doigt comme méthode d'installation de nombreux malwares, dont est victime principalement Internet Explorer. Mais voilà que la technologie xpi/xul de Mozilla fait parler d'elle avec un cheval de Troie récent.

Cette technologie permet en effet d'intégrer des éléments nouveaux dans l'interface des produits Mozilla (Firefox, Thunderbird) en utilisant des fichiers .xpi. Ces fichiers sont en fait des zip (fichiers compressés) intégrant des fichiers .xul, des javascript et éventuellement diverses autres choses. En fait tout Firefox est construit par un assemblage de fichiers .xpi. Il est donc très facile aux utilisateurs d'ajouter à Firefox des fonctionnalités nouvelles (les fameuses extensions) en installant des .xpi supplémentaires.

au sommaire


    Un cheval de Troie déguisé en extension pour Firefox

    Un cheval de Troie déguisé en extension pour Firefox

    Cela fait quelque temps que certains ont souligné le danger potentiel de cette technologie. La fondation Mozilla pensait avoir introduit une sécurité suffisante en autorisant Firefox à télécharger des .xpi uniquement à partir de sites sûrs. De plus les .xpi demandent normalement une autorisation avant de s'installer.

    Mais cette sécurité apparaît maintenant insuffisante avec la découverte très récente d'un cheval de Troie spécifique à Firefox identifié par McAfee. Tout commence avec l'installation sur l'ordinateur d'un premier cheval de Troie appelé Downloader-AXM qui arrive sous forme de pièce jointe dans un mail. Ce cheval de Troie va, à son tour, télécharger et installer le cheval de Troie FormSpy qui infecte Firefox.

    La méthode d'infection est subtile : le malware est intégré à une extension de Firefox normalement sans problème nommée NumberedLinks 0.9. L'intégration a été d'autant plus facile à faire pour le pirate que cette extension est, comme toutes les autres, publiée en open source. Cette extension modifiée s'installe à l'insu de l'utilisateur sans demander d'autorisation, contrairement à une extension normale.

    À partir de ce moment les choses deviennent dramatiques pour l'utilisateur : FormSpy (déguisé en extension NumberedLinks 0.9) est en réalité un keylogger qui va espionner les frappes au clavierclavier et envoyer vers un site pirate tous les mots de passemots de passe et codes de carte bancaire qui seront tapés au clavier. Il est également capable de récupérer les mots de passe échangés dans le trafic ICQ, FTPFTP, IMAPIMAP et POP3POP3, même s'ils ne sont pas composés au clavier.

    Le seul symptômesymptôme apparent est l'apparition dans la liste des extensions (menu Outils) de l'extension NumberedLinks 0.9. Or on va rarement regarder cette liste. Heureusement la diffusiondiffusion de ce malware semble actuellement assez limitée. En effet l'infection initiale par Downloader-AXM est généralement détectée par les antivirusantivirus à jour. Mais les choses évoluent vite : des sites web ont été identifiés, probablement infectés à l'insu de leurs propriétaires, qui peuvent causer la contaminationcontamination de Firefox par l'intermédiaire d'un vieil exploit nommé VBS/Psyme ciblant InternetInternet Explorer. Un comble : votre Firefox contaminé via Internet Explorer ! C'est assez pervers, mais l'efficacité de cette méthode est probablement faible. Il faut en effet avoir les deux navigateursnavigateurs installé et utiliser tantôt l'un tantôt l'autre.

    Cette histoire démontre la nécessité pour la fondation Mozilla de se pencher sérieusement sur la sécurisation des méthodes d'installation des .xpi.