Aucun navigateur Internet n'est totalement à l'abri d'une tentative de piratage, c'est bien connu. On a souvent critiqué--le plus souvent à juste titre--Internet Explorer pour la légèreté de sa sécurité, et loué dans le même temps Mozilla Firefox pour les raisons inverses. Cet ordre établi est-il sur le point de voler en éclats '
Le rendez-vous des chapeaux noirs...
La conférence ToorCon de Los Angeles est l'un des nombreux rendez-vous annuels au cours desquels des hackers de tous horizons (et de toutes persuasions) peuvent se rencontrer, et échanger leurs dernières trouvailles en matière de sécurité informatique. Ils font le plus souvent preuve d'un grand sens des responsabilités lorsqu'ils dévoilent de nouvelles failles, mais il pourrait en aller différemment cette fois : une vulnérabilité affectant la gestion du langage JavaScript sur Mozilla Firefox a fait l'objet d'un exposé suffisamment complet pour que les quelques individus malveillants présents puissent s'en servir à des fins peu avouables. Window Snyder, la très jolie responsable de la sécurité chez Mozilla, était également présente, et a pratiquement dû supplier les éventuels pirates de collaborer, moyennant finance, avec sa firme pour faire disparaître cette faille, plutôt que de l'utiliser à des fins délictueuses. Il est probable que ses propos restent lettre morte...
Ce qui ne nous tue pas nous rend plus fort '
La vulnérabilité en elle-même touche la manière dont le langage JavaScript est géré par Firefox. D'après les informations divulguées par nos deux hackers durant leur présentation, Mozilla disposerait de suffisamment d'information pour mieux cerner le problème. Sa résolution est une autre affaire, comme le reconnaît Mlle Snyder : "Apparemment, il y avait assez d'information dans la présentation pour permettre la préparation d'une attaque, même s'il s'agit en fait d'une variante d'une faille relativement ancienne. Je déplore cette attitude, car elle met l'utilisateur final en danger. Ceci étant, apporter un correctif ne sera pas chose facile, surtout si la vulnérabilité est bien localisée dans la machine virtuelle qui gère les contenus écrits en JavaScript."
Nos deux hackers, de leur côté, semblent s'être servis de cette faille pour attirer l'attention sur eux, et sur leurs travaux ; ils déclarent avoir repéré 30 autres vulnérabilités affectant Mozilla Firefox, mais entendent pour l'instant les garder pour eux. Appelé sur l'estrade, Jesse Ruderman, un des principaux chercheurs en matière de sécurité chez Mozilla, a également demandé aux participants et aux présentateurs de faire bon usage de leurs trouvailles, notamment en les mettant à disposition de l'éditeur de Firefox, contre rémunération, plutôt que de les utiliser pour propager toutes sortes de menaces, et notamment la mise en place de botnets, ces réseaux fantômes automatisés qui se servent des PC d'internautes insouciants pour relayer leurs messages. Les deux hackers ont éclaté de rire en entendant la supplique de Ruderman, indiquant qu'ils travaillaient pour le bien de la communauté des internautes, et que ces réseaux leur servaient à discrètement entrer en communication avec leurs homologues de tous les pays.
Et pendant ce temps, la marmotte met le chocolat dans le papier alu, si je me souviens bien...
Le rendez-vous des chapeaux noirs...
La conférence ToorCon de Los Angeles est l'un des nombreux rendez-vous annuels au cours desquels des hackers de tous horizons (et de toutes persuasions) peuvent se rencontrer, et échanger leurs dernières trouvailles en matière de sécurité informatique. Ils font le plus souvent preuve d'un grand sens des responsabilités lorsqu'ils dévoilent de nouvelles failles, mais il pourrait en aller différemment cette fois : une vulnérabilité affectant la gestion du langage JavaScript sur Mozilla Firefox a fait l'objet d'un exposé suffisamment complet pour que les quelques individus malveillants présents puissent s'en servir à des fins peu avouables. Window Snyder, la très jolie responsable de la sécurité chez Mozilla, était également présente, et a pratiquement dû supplier les éventuels pirates de collaborer, moyennant finance, avec sa firme pour faire disparaître cette faille, plutôt que de l'utiliser à des fins délictueuses. Il est probable que ses propos restent lettre morte...
Ce qui ne nous tue pas nous rend plus fort '
La vulnérabilité en elle-même touche la manière dont le langage JavaScript est géré par Firefox. D'après les informations divulguées par nos deux hackers durant leur présentation, Mozilla disposerait de suffisamment d'information pour mieux cerner le problème. Sa résolution est une autre affaire, comme le reconnaît Mlle Snyder : "Apparemment, il y avait assez d'information dans la présentation pour permettre la préparation d'une attaque, même s'il s'agit en fait d'une variante d'une faille relativement ancienne. Je déplore cette attitude, car elle met l'utilisateur final en danger. Ceci étant, apporter un correctif ne sera pas chose facile, surtout si la vulnérabilité est bien localisée dans la machine virtuelle qui gère les contenus écrits en JavaScript."
Nos deux hackers, de leur côté, semblent s'être servis de cette faille pour attirer l'attention sur eux, et sur leurs travaux ; ils déclarent avoir repéré 30 autres vulnérabilités affectant Mozilla Firefox, mais entendent pour l'instant les garder pour eux. Appelé sur l'estrade, Jesse Ruderman, un des principaux chercheurs en matière de sécurité chez Mozilla, a également demandé aux participants et aux présentateurs de faire bon usage de leurs trouvailles, notamment en les mettant à disposition de l'éditeur de Firefox, contre rémunération, plutôt que de les utiliser pour propager toutes sortes de menaces, et notamment la mise en place de botnets, ces réseaux fantômes automatisés qui se servent des PC d'internautes insouciants pour relayer leurs messages. Les deux hackers ont éclaté de rire en entendant la supplique de Ruderman, indiquant qu'ils travaillaient pour le bien de la communauté des internautes, et que ces réseaux leur servaient à discrètement entrer en communication avec leurs homologues de tous les pays.
Et pendant ce temps, la marmotte met le chocolat dans le papier alu, si je me souviens bien...