Java faire mal à FireFox

pas mal le titre hein ? [:siffle] :whistle:

L’article:

Un bloggeur raconte comment il s’est fait installer toute une série de spywares en visitant un site web alors qu’il utilisait le navigateur Firefox, pourtant réputé plus sûr. Comment ? L’installateur des parasites utilise Java pour commettre son forfait et non l’habituel contrôle ActiveX réservé au seul Internet Explorer. Cela lui permet de s’installer quel que soit le navigateur utilisé par l’internaute à partir du moment où Java est activé.

Si jusqu’à présent les auteurs de spywares et autres adwares se contentaient de cibler spécifiquement les utilisateurs d’Internet Explorer, certains d’entre eux semblent désormais vouloir étendre leur emprise à d’autres navigateurs. Et ils ont bien compris que la meilleure façon de toucher la quasi-totalité des butineurs est d’abandonner la technologie ActiveX, propre à Internet Explorer, pour se tourner vers quelque chose de beaucoup plus standard : Java.

Témoin la mésaventure vécue par Christopher Boyd, du blog Vitalsecurity.org. En recherchant les paroles de chansons sur un site spécialisé, avec Firefox s’il vous plaît, il se retrouve face à une fenêtre lui demandant s’il accepte de “faire confiance à l’applet signée par Integrated Search Technology”.

Bien sûr, c’est là que n’importe quel internaute un peu expérimenté aurait répondu “non” et l’affaire en serait restée là. Mais de nature curieuse, Christopher Boyd a accepté. Il s’est alors immédiatement retrouvé avec une multitude de téléchargements automatiques tandis qu’une volée de modifications étaient apportées à la base de registres de Windows et qu’Internet Explorer démarrait tout seul, après avoir reçu la bénédiction d’une bonne demi-douzaine de spywares.

Quels enseignements tirer de sa mésaventure ?

Tout d’abord qu’il ne faut jamais accepter quoi que ce soit proposé spontanément durant une séance de surf. Répondre “non” à toutes les fenêtres de sollicitations un peu obscures est un réflexe nécessaire pour les internautes non-techniciens.

Ensuite qu’aucun navigateur ne garantit une sécurité à 100%. Prenons le cas de Firefox : même si aucune vulnérabilité ne permet aujourd’hui d’installer automatiquement du code sur le PC d’un utilisateur de Firefox, l’on rencontre déjà des sites qui proposent spontanément l’installation d’extensions malicieuses au format XPI, spécifique à ce navigateur. Et avec un installateur Java tel que l’a découvert Christopher Boyd cela devient vrai pour la majorité des autres navigateurs alternatifs.

Autre enseignement : bien que dans cet exemple, les codes installés étaient essentiellement des spywares destinés à Internet Explorer, une applet Java autorisée dispose en réalité des mêmes droits que n’importe quel exécutable présent sur le système. Elle peut donc installer silencieusement n’importe quoi, y compris de véritables codes malicieux tels que des keyloggers, des chevaux de Troie ou des virus, et modifier, par exemple, les règles du pare-feu de Windows afin de pouvoir communiquer à loisir avec ses créateurs.

Bref : quel que soit le navigateur utilisé pour surfer sur Internet, la seule vraie protection contre les codes malicieux est une attitude prudente et, hélas, un minimum de curiosité technique. Car la plupart des internautes qui accepteront de “faire confiance” à cette applet Java ne savent probablement pas ce qu’est une applet Java…

Précisons enfin, avant de devoir affronter une volée de courriers d’indignation, qu’il ne s’agit pas ici d’une faille de Firefox, ni de Java, mais bien d’une tentative de tromper les utilisateurs les plus naïfs quel que soit le navigateur qu’ils utilisent.
Et c’est bien là toute la nouveauté !

Sources:

http://www.futura-sciences.com/sinformer/n/news5816.php

ça me semble de la news intéressante pour tous ceux (de plus en plus nombreux) qui utilisent FireFox.

Moralité: avec FireFox on est protégé, mais faut quand même pas accepté n’importe quoi sur les sites visités. [:______]

La moralité résume bien l’histoire, ca n’est pas parce qu’on utilise FF ou autre logiciel librre qu’il faut faire n’importe quoi. Il n’est pas question de masquer les failles, quelles qu’elles soient, c’est l’un des arguments majeurs du libre d’ailleurs.
Cependant cette histoire d’applet qui fait ce qu’il veut est à revoir à mon avis, mais ca fait des années que ce problème est connu et rien ne bouge, un projet libre dans ce domaine serait donc bienvenu.

J’emettrais quand même un reproche sur le choix du titre, puisque le problème ne vient pas de FF pourquoi parler spécifiquement de lui. C’est une faille java donc applicable à IE, FF, Konqueror, Nautilus et n’importe quel navigateur pouvant utiliser Java.

ouai sa concerne surtout les windowsiens comme faille pour le moment donc konqueror est pas trop visé je pense (meme si kde vas etre porté sous win j en sais rien pour konqueror)
comme souvent dis c un PBKAC (Problem between keyboard and chair)
faudrai faire une ecole pour autoriser les gens a aller sur le net un peu comme un permis de surfer…

Si l’applet est programmé pour faire des dégats sur un système linux ca marchera sous linux avec konqueror. De plus un applet peut très bien faire ce qu’il annonce et également des choses plus sombres, ce qui est difficile d’éviter, même en étant prudent.

on va finir par devoir executer le butineur dans un chroot comme on le fait pour certains services à risque genre ftp…

Mais avant d’en arriver là j’aimerais bien pouvoir gerer facilement des profils de sécurité, pouvoir dire que j’ai confiance en tel et tel sites, les autres n’ayant droit qu’au strict minimum.

C’est encore de la désinformation…
M’enfin, ça apportera de l’eau au moulin des pro Ie et anti logiciel libre. heureusement qu’ils ont encore ce genre de news à se mettre sous la dent, ça les conforte à rester dans leur merveilleux univers :smiley:

C’est pas une mauvaise idée, après tout.

ca montre aussi que le systeme de signature ne garanti absolument pas les bonnes intentions de l’auteur de l’appli signee…

C’est très constructif ce que tu racontes [:v10ware]

En quoi est-ce de la désinformation que d’apprendre que java peut poser des problèmes, même sur mon tout beau firefox ?
Et pourquoi les fans d’IE devraient se priver de tirer partie d’un tel argument ? :sarcastic:

c’est de la désinformation d’écrire : “Java faire mal à Firefox”

il faudrait écrire : “Java faire mal aux navigateurs internet” :smiley: (si links supportait le java, il pourrait être touché :ane:)

les fans d’IE devraient se priver d’utiliser un tel argument car ils peuvent être infectés de cette façon aussi, c’est tout :confused:

Parceque la news devrait s’appeler “une nouvelle faille de java valable sur tous les navigateurs” mais qu’elle s’apelle “une nouvelle faille sur FireFox”, titre qu’elle mérite surement bien moins que “nouvelle faille sur Internet Explorer” puisque IE est encore plus utilisé que FireFox

Bref, le nom de FireFox n’a rien a voir là dedans, si ce n’est pour la désinformation

EDIT : Grillaid (et de 25 minutes, je devais arréter d’ouvrir 50 onglets à la fois moi :p)