Sécurité

Firefox est toujours le navigateur Web le moins sécurisé, tombe à quatre exploits zero-day chez Pwn2Own – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Au Pwn2Own 2014, un hackfest informatique annuel à Vancouver, Firefox de Mozilla a prouvé une fois de plus qu’il s’agit du navigateur Web majeur le moins sécurisé. Alors que les quatre principaux navigateurs Web – Chrome, Internet Explorer, Firefox et Safari – ont été exploités avec succès, pour un total de 850 000 $ en prix décernés à des chercheurs en sécurité couronnés de succès, Firefox était de loin le navigateur le moins sécurisé, accumulant pas moins de quatre vulnérabilités zero-day. Ces vulnérabilités, si elles étaient dans la nature, permettraient à un pirate de faire à peu près n’importe quoi avec votre ordinateur si vous visitiez un site Web spécialement conçu.

Firefox n’a jamais eu un excellent dossier chez Pwn2Own. Alors que le format du concours a généralement changé chaque année depuis son inauguration en 2007 (différentes plates-formes, différentes règles, différents vecteurs d’attaque), Firefox a été impliqué d’une manière ou d’une autre depuis 2009. Alors que Chrome a été déhacké en 2009, 2010 et 2011, la seule année où Firefox n’a pas été piraté était 2011. Depuis 2012, cependant, alors que les chercheurs en sécurité sont devenus de plus en plus rusés, chaque navigateur majeur est tombé à au moins une vulnérabilité zero-day. Ce quatre des vulnérabilités distinctes ont été trouvées dans Firefox lors de Pwn2Own 2014, cependant, c’est impressionnant. (Lis: La mort de Firefox.)

La sécurité plus faible de Firefox est généralement attribuée à son absence de bac à sable – un shell ou un pare-feu autour d’un logiciel qui le maintient séparé du reste du système d’exploitation. En théorie, le bac à sable devrait empêcher le navigateur d’exécuter d’autres programmes, de lire le contenu de votre RAM ou d’ouvrir d’autres fichiers. Chrome, Safari et Internet Explorer (versions plus récentes) ont tous un bac à sable, contrairement à Firefox. En bref, si quelqu’un trouve une vulnérabilité suffisamment importante dans Firefox, rien ne l’empêche d’avoir un accès complet à votre ordinateur. Il est légèrement déconcertant que les chercheurs en sécurité aient trouvé quatre de ces vulnérabilités en seulement trois jours chez Pwn2Own. (Lis: Comment surfer en toute sécurité : de LastPass aux chapeaux en aluminium, et tout le reste.)

Plusieurs processus Firefox

La clé pour améliorer la sécurité de Firefox : plusieurs processus

Heureusement pour nous, depuis Pwn2Own 2013, toutes les vulnérabilités sont signalées aux fabricants de navigateurs Web afin qu’elles puissent être corrigées en temps opportun. Néanmoins, c’est un bon rappel que Firefox n’est peut-être pas le meilleur choix de navigateur si la sécurité est l’une de vos principales préoccupations lorsque vous naviguez sur le Web. Quant à savoir pourquoi Firefox n’a pas de bac à sable, c’est probablement parce qu’il a été conçu à une époque où la sécurité sur le Web était encore un sujet naissant et naïf. Chrome, qui a été développé quelques années plus tard, a été intentionnellement conçu dès le départ pour être très rapide et sécurisé. De même, Microsoft a procédé à une refonte complète entre IE8 et IE9, ajoutant un bac à sable et d’autres fonctionnalités modernes afin qu’il puisse réellement se tenir à côté de ses pairs sans se moquer. Mozilla aimerait ajouter le sandboxing à Firefox, il est très difficile d’ajouter le sandboxing à un programme qui n’a pas été conçu à l’origine pour cela. (Pour les techniciens : il est étroitement lié au projet Electrolysis, qui finira par donner à Firefox des processus par onglet.)

Un grand total de 850 000 $ en prix a été remis aux chercheurs en sécurité à Pwn2Own 2014. Tout comme en 2012 et 2013, la société de sécurité française Vupen a eu une très bonne performance, remportant 400 000 $ pour un total de 11 vulnérabilités de jour zéro, couvrant Chrome, Firefox, IE et Adobe Flash et Reader. George Hotz (oui, Geohot de PlayStation et la renommée du piratage iOS) a remporté 50 000 $ pour un exploit Firefox. Le prix en argent est attribué par Zero-Day Initiative (détenue par TippingPoint, qui a été rachetée par HP), qui en fait achète les vulnérabilités des pirates, afin qu’ils puissent améliorer la sécurité des produits TippingPoint/HP.

Psssssst :  BitWhisper : vol de données à partir d'ordinateurs hors réseau à l'aide de chaleur - High-teK.ca
[Image credit: Gill Penney]

Bouton retour en haut de la page