Passer au contenu

Firefox : une faille vieille de 17 ans permet de voler des fichiers sur un PC

Envoyer un fichier HTML par email suffit pour siphonner en douce le contenu d’un ordinateur. Mozilla ne semble pas s’en émouvoir plus que cela.   

Télécharger et ouvrir un fichier HTML douteux n’est pas une bonne idée, en tous les cas si vous utilisez Firefox. Le chercheur en sécurité Bartak Tawily vient de montrer qu’un attaquant peut alors télécharger automatiquement et en douce tous les fichiers contenus dans le répertoire dans lequel se trouve le fichier HTML en question, ainsi que les fichiers des sous-répertoires.
Pour prouver l’efficacité de sa technique, il a réalisé une vidéo YouTube dans laquelle la victime reçoit un fichier HTML vérolé par e-mail.

Cette attaque s’appuie sur une implémentation relativement peu sécurisée du principe « Same Origine Policy ». Il vise à cloisonner entre eux les ressources Web dont l’accès se fait par un navigateur pour, par exemple, parer les attaques dites de « cross-site scripting ». Ainsi, un script d’une origine B ne peut pas accéder au contenu d’une origine A. Malheureusement, quand l’origine est un fichier (file://…), le principe n’est pas clairement défini et les approches divergent.

Un cloisonnement trop laxiste

Pour Chrome, Safari et Firefox, chaque fichier est une origine à lui tout seul. Mais pour Firefox, tous les fichiers d’un même répertoire constituent une même origine. Il est donc possible d’accéder à tous les fichiers d’un répertoire depuis l’un d’entre eux.
Autre différence, Firefox autorise l’utilisation de l’interface de programmation « Fetch API » pour les fichiers, ce qui permet d’accéder à leur contenu. Les trois autres navigateurs ne permettent son utilisation qu’en mode HTTP ou HTTPS. La combinaison de ces deux aspects permet de siphonner facilement le contenu d’un répertoire, à condition d’amener l’utilisateur à ouvrir la page malveillante et à cliquer sur un bouton. Ce qui n’est pas très difficile.

En réalité, ce problème n’est pas nouveau. D’après le chercheur, il est même connu depuis… 17 ans. Mais Mozilla fait la sourde oreille et ne semble pas beaucoup s’y intéresser.
Contactée par le chercheur, la fondation a simplement confirmé que son implémentation SOP permettait « à chaque URL file:// d’accéder aux fichiers d’un même répertoire ainsi qu’à ceux des sous-répertoires ». En attendant que les développeurs de Firefox changent d’avis sur la question, il est conseillé de ne pas télécharger et exécuter des fichiers HTML.

Sources : Note de blog, Hacker News

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN