Un bug dans Firefox 2 permet d’accéder aux mots de passe

La Mozilla Foundation a annoncé que Firefox 2.0 contient une faille permettant d’accéder aux mots de passe contenus dans le Password Manager. Selon des informations non confirmées, Internet Explorer serait confronté au même problème.

A cause de [ce bug], les noms d’utilisateur et les mots de passe peuvent être transférés vers un autre domaine que celui auquel ils sont destinés. A l’aide de javascript, un formulaire contenant les données des utilisateurs peut même être sollicité de manière quasiment invisible par un pirate, de sorte que les hameçonneurs (‘phishers’) peuvent s’épargner la peine de créer un site factice soi-disant bien attentionné: il suffit en effet qu’un utilisateur visite un site web pour que son mot de passe se retrouve sur la place publique. Il faut par ailleurs que le code de phishing soit hébergé sur le domaine auquel le mot de passe est destiné, mais les comptes sur des sites où les utilisateurs eux-mêmes peuvent publier en HTML, comme MySpace, sont très vulnérables à cause de cette faille.Le bug numéro 360493 est aujourd’hui connu sous l’appellation ‘Reverse Cross-Site Request-vulnerability’, et les premiers abus sont déjà signalés. Il est donc recommandé de désactiver provisoirement le Password Manager de Firefox. Una alternative consiste à utiliser l’extension Master Password Timeout, qui ne colmate pas la brèche, mais qui peut en tout cas lancer un avertissement. Une solution structurelle pour la faille qualifiée de ‘particulièrement critique’ est en préparation. Les développeurs de Mozilla considèrent cette brèche comme un ‘blocage’, ce qui revient à dire qu’une prochaine version du navigateur ‘open source’ ne peut sortir sans solution.