Silicon.fr

Derniers articles

Free Mobile a fait parvenir ses premières cartes SIM à ses pre {…}

Lire la suite

Ces neuf bulletins permettront de corriger des risques d' {…}

Lire la suite

Pour répondre à un impératif besoin de communiquer en tous lie {…}

Lire la suite

L’OS open source ReactOS a pour objectif d’être compatible ave {…}

Lire la suite

TheInquirer.fr

Derniers articles

Le site de rencontres français le plus en vogue actuellement a {…}

Lire la suite

Le cyberactiviste le plus connu de la planète a été mis à l’ho {…}

Lire la suite

Le célèbre ex Beatles a ouvert à tous les internautes l’accès {…}

Lire la suite

“On vous quitte pour Free”, c’est le titre de la chanson humor {…}

Lire la suite

Gizmodo.fr

Derniers articles

George Lucas vient de répondre à une des plus grandes question {…}

Lire la suite

Les utilisateurs du site de partage suédois The Pirate Bay ont {…}

Lire la suite

Acer pourrait lancer le fleuron de ses smartphones durant le M {…}

Lire la suite

Hourra ! L’humanité vient d’évoluer une nouvelle fois ! La der {…}

Lire la suite

ChannelBiz.fr

Derniers articles

Stéphanie Bompas, responsable du Channel et des marchés PME ch {…}

Lire la suite

Selon la dernière enquête conjoncturelle du 3SCI, les sociétés {…}

Lire la suite

Le responsable marketing d'ACTN, grossiste de la région t {…}

Lire la suite

L'interview du Country Manager France de Logitech sur IT {…}

Lire la suite

[x]Fermer

Actualité

pirate 2

Une faille de Firefox permet de récupérer des logins et mots de passe

La vulnérabilité touche le module de gestion des mots de passe du navigateur.
Internet Explorer est aussi affecté dans une moindre mesure.

Le 23 novembre 2006 par Christophe Lagane 2 Commentaires

Selon Chapin Information Services (CIS), Firefox serait victime d’une faille de sécurité critique qui touche toutes le versions du navigateur, y compris la récente 2.0. Selon le prestataire high-tech, Firefox présenterait des vulnérabilité au niveau de la gestion des login et mots de passe. Un trou de sécurité que CIS a baptisé Reverse Cross-Site Request (RCSR).

Le navigateur propose en effet un module qui permet d’enregistrer les comptes de connexion à des sites. Ce qui évite d’avoir à les ressaisir à chaque fois que l’on visite un service nécessitant un identifiant de connexion (webmail, blog, site marchand…). Selon CIS, qui met en ligne une page de démonstration, il est possible de capturer ces identifiants à partir d’un service permettant des personnalisations HTML de la page (blogs et forums essentiellement). Internet Explorer est également concerné mais dans une moindre mesure puisqu’il ne propose pas le remplissage automatique des formulaires.


Module antiphishing inefficace

Ces types d’attaques RCSR ont déjà été recensées du côté des services populaires comme MySpace. Selon CIS, « l’attaque RCSR a des chances de réussir parce que ni Internet Explorer ni Firefox ne sont conçus pour vérifier la destination des données de formulaire avant que l’utilisateur ne les soumette. Les utilisateurs voient une adresse Web de confiance dans la barre d’adresse parce que l’exploitation [de la vulnérabilité] s’effectue sur le site de confiance. » Cet exploit (faille potentiellement exploitable) est possible en cliquant sur un lien caché dans une image ou une vidéo. Du coup, les modules anti-phishing des navigateurs s’avèrent inopérants.

La Fondation Mozilla a confirmé la vulnérabilité qui sera corrigée dans une version 2.0.0.1 ou 2.0.0.2 du navigateur. La découverte de la faille remonterait au 12 novembre 2006. Microsoft a déclaré à CIS être conscient du problème mais n’a pas souhaité apporter de commentaire quant à ses éventuels correctifs. En attendant, méfiance. Il est conseillé de désactiver sur Firefox la fonction d’enregistrement de saisie automatiques des comptes de connexion.

Autres articles sur ce sujet

Categories : Bogues et correctifs.

Derniers commentaires




2 Responses to Une faille de Firefox permet de récupérer des logins et mots de passe

  • Le 4 décembre 2006 à 0:00 par Basséras Xavier

    « désactiver sur Firefox la fonction d’enregistrement de saisie automatiques des comptes de connexion. »

    Le conseil parait judicieux! Mais …quelle est la procédure pour le faire ?

    Répondre
  • Le 7 février 2007 à 0:00 par med amine

    bn aller sur Outils >Options >Vie privee … et enfin decocher la case -Enregistrer les mots de passe- voila..

    Répondre

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>