Des chercheurs en sécurité ont démontré que la plupart des extensions de Firefox pouvaient être abusées par un malfaiteur pour voler des données voire exécuter du code arbitraire.
La vulnérabilité tient dans l'architecture même des add-ons du navigateur : comme ils ne sont pas isolés et qu'ils peuvent avoir accès à des ressources sensibles (cookies, historique, mots de passe...), un add-on malveillant peut détourner les fonctions d'un autre pour subtiliser discrètement des données, par exemple.
Les chercheurs ont expliqué [PDF] lors de la récente conférence Black Hat qu'ils ont réussi à faire valider par Mozilla une extension camouflant un mécanisme qui force l'extension NoScript à afficher une page web de leur choix. Cette méthode pourrait être utilisée par un malandrin pour diriger une victime sur un site de phishing.
Selon les chercheurs, 9 des 10 add-ons les plus populaires de Firefox sont vulnérables à cette entourloupe. Seul Adblock Plus est immunisé.
La fondation Mozilla a reconnu le problème... qui ne peut pas vraiment être résolu à l'heure actuelle, puisqu'il repose sur le fonctionnement général des extensions. La seule chose que l'utilisateur puisse faire, c'est de n'installer que des add-ons de confiance. Mozilla peut de son côté renforcer son processus de validation afin de détecter les extensions retorses.
Mais la véritable solution viendra avec WebExtension, un nouveau type d'extension plus sûr. Les WebExtensions sont actuellement en test dans la version 47 du navigateur (la mouture finalisée actuelle est la 45).
Source : Ars Technica
