BlogZiNet

Voilà une occasion (dont se serait sûrement passé la fondation Mozilla) de tester le dispositif d'alerte automatique des mises à jour introduit dans Firefox 1.0 PR (aussi nommé 0.10 en interne). Un patch XPI est disponible pour corriger une faille de sécurité critique du navigateur léger Firefox en phase de finalisation. Une nouvelle version de Firefox 10 PR (4,5 Mo) est disponible au téléchargement (baptisée Firefox 0.10.1 – pensez à mettre à jour vos clés USB) depuis la page du produit Firefox sur Mozilla.org (les notes de diffusion n'ont pas encore été mises à jour).

Le plus intéressant est l'apparition d'une icône rouge — — en haut à droite de la barre des menus de Firefox (avant le Throbber, ce machin qui bouge quand une page se charge). Je ne l'avais pas remarqué avant que mon lecteur de news (externe) ne me prévienne de la mise à jour et que je fonce sur le communiqué de presse de la fondation indiquant la marche à suivre. Le système de mise à jour semble fonctionné : clic sur l'icône, recherche automatique, apparition d'une fenêtre un peu confuse m'indiquant cette mise à jour critique. Je ne sais pas trop si je dois ou pas cocher les autres options proposées et une éventuelle conséquence de ce choix. Pourquoi y-a-t-il indiqué « Firefox 1.0 Preview Release » alors que c'est déjà ma version (c'est qu'il y en a une plus récente avec le même nom mais ce n'est nullement précisé ici) ? Je garde la première sélection et clique sur « Install Now ». L'installation de la mise à jour s'effectue et une fenêtre « Update Complete » me dit que Firefox a installé les mises à jour disponibles avec un bouton « Finish » à cliquer. Et plus rien. On ne me dit pas de redémarrer Firefox ou si maintenant je suis bien protégé. C'est un peu court ! Il y a encore du boulot sur ce point jusqu'à la version finale.

Mais qu'y-a-t-il donc de si terrible ? Ecoutons le communiqué de presse de la fondation Mozilla (traduit intégralement sur MozillaZine-fr) :

Questions et réponses :

Comment cette vulnérabilité de sécurité expose-t-elle l'utilisateur ?

Un hacker malveillant qui pourrait duper un utilisateur pour lui faire enregistrer un fichier pourrait supprimer des fichiers du dossier de téléchargement de l'utilisateur.

Quelle est la gravité de cette vulnérabilité ?

Bien que ce soit une vulnérabilité de sécurité potentiellement grave, l'interaction de l''utilisateur est exigée pour déclencher le mal potentiel. Cette mise à jour de sécurité est également un autre exemple de l'identification et de la réparation des vulnérabilités de sécurité par la fondation Mozilla avant qu'elles ne soient exploitées par des hackers malveillants. Ce type de vulnérabilités de sécurité est très différent des cas où un hacker pourrait tirer profit d'une vulnérabilité pour obtenir des informations valables de l'ordinateur d'un utilisateur.

Ce cas n'illustre-t-il pas le fait que tous les navigateurs sont peu sûrs à parts égales ?

La fondation de Mozilla continue à avoir de forts résultats sur la sécurité. Selon Secunia, une organisation indépendante de veille en matière de sécurité, Firefox a actuellement 1 problème de sécurité ouvert, sur un total de 13 alertes de sécurité enregistrées en 2003 et 2004. 0 % de ces dernières sont marquées « extrêmement critiques », 15 % sont marquées « hautement critique ». Pour la même période, Secunia répertorie 16 problèmes de sécurité ouverts sur 44 alertes pour Internet Explorer 6.0, dont 14 % sont marquées « extrêmement critiques » et 34 % sont « hautement critiques ».

C'est sûr qu'il ne faut pas télécharger n'importe quoi surtout sur des sites peu dignes de confiance et que l'impact de l'attaque serait limité mais ça va encore alimenter une ambiance d'insécurité généralisée favorable aux amalgames et aux raccourcis. Il est sûr cependant qu'il est préférable pour l'utilisateur actuel et celui qui migrera plus tard vers Firefox qu'on découvre maintenant les failles de sécurité du produit avant qu'il ait acquis une popularité qui le rende éligible aux attaques de masse.