Bientôt dix jours et la dernière vulnérabilité critique découverte dans Firefox n'est toujours pas corrigée. Pour faire patienter ses utilisateurs, la Fondation Mozilla a publié un réglage spécifique chargé de désactiver le composant troué. Mais la nouvelle ne s'est pas vraiment ébruitée et la grande majorité des navigateurs libres demeurent vulnérables. C'est dommage, car du côté des pirates on s'active pour tenter d'exploiter cette faille à grande envergure.

au sommaire


    Les pirates à l'assaut de Firefox ?

    Les pirates à l'assaut de Firefox ?

    L'agitation est évidente sur les listes de diffusiondiffusion spécialisées : on y travaille dur pour trouver un exploit efficace contre Firefox. Depuis l'annonce, il y a dix jours, d'une vulnérabilité critique, le navigateur libre se retrouve ainsi l'objet de toutes les attentions. Le découvreur de la faille n'ayant pas publié son code d'exploitation, les petites mains du hacking s'y sont mis dès l'annonce officielle. Depuis, plusieurs exploits ont été annoncés sur des listes de discussion, mais aucun n'est encore très convaincant (ils sont non confirmés, instables ou utilisables dans une configuration de Windows trop particulière pour être rentables).

    Aucun de ces PoC1 n'a en outre été rendu public, et il semblerait qu'aucune attaque impliquant cette vulnérabilité ne se soit encore produite. Mais il ne faudra probablement plus très longtemps avant qu'un code d'exploitation ne soit diffusé. Et s'il se trouve être stable et simple à reproduire, Firefox pourrait alors se retrouver dans une situation que connaît très bien Internet Explorer : ouvrant la porteporte du PC aux codes malicieux en tous genres.

    Sauf, bien, sûr, si la Fondation Mozilla parvient à sortir une version corrigée à temps. Mais dix jours après l'annonce de la faille, elle n'a encore publié aucun vrai correctif. Certes, au lendemain de la publication elle diffusait des instructions et un patch censé désactiver le composant vulnérable en attendant la version suivante du navigateur. Mais rare sont les internautes à en avoir entendu parler et la grande majorité des versions 1.0.6 en circulation demeurent donc vulnérables.

    Heureusement, la version salvatrice (1.0.7) n'est plus très loin. Quelques jours à peine après la publication de la faille une bêtabêta était d'ailleurs déjà téléchargeable pour les connaisseurs. Elle n'a cessé de mûrir et elle en est désormais au stade de pré-diffusion dit de "Release Candidate".

    Cette affaire a de quoi laisser une impression mitigée aux défenseurs de l'Open Source : certes, un correctif provisoire (et sommaire, puisqu'il se contentait de désactiver la fonction vulnérable) était bien disponible au lendemain de la publication de la faille. L'honneur est donc sauf en ce qui concerne la rapidité de réaction. Mais dix jours après, aucune version corrigée finale n'est encore disponible. Et surtout bien peu d'internautes sont au courant de l'existence du patch provisoire ou d'une bêta capable de les protéger (même s'il ne s'agit pas de son rôle).

    Dans ces conditions le manque de communication efficace a rendu inutile la céléritécélérité de la Fondation Mozilla. A défaut d'être capable d'avertir ses utilisateurs les moins spécialistes, Firefox aurait tout aussi bien pu rester non corrigé ces dix derniers jours.

    1 - PoC : Proof of ConceptProof of Concept. Programme démontrant la faisabilité de l'attaque. Ces PoC ne sont généralement pas des programmes nocifs, mais des programmes de démonstration. Toutefois il est évident qu'un programme nocif (ver ou virus) peut facilement être développé ensuite à partir de ce code rendu public.