Passer au contenu

Firefox : une faille vieille de 17 ans permet de voler des fichiers sur un PC

Envoyer un fichier HTML par email suffit pour siphonner en douce le contenu d’un ordinateur. Mozilla ne semble pas s’en émouvoir plus que cela.   

Télécharger et ouvrir un fichier HTML douteux n’est pas une bonne idée, en tous les cas si vous utilisez Firefox. Le chercheur en sécurité Bartak Tawily vient de montrer qu’un attaquant peut alors télécharger automatiquement et en douce tous les fichiers contenus dans le répertoire dans lequel se trouve le fichier HTML en question, ainsi que les fichiers des sous-répertoires.
Pour prouver l’efficacité de sa technique, il a réalisé une vidéo YouTube dans laquelle la victime reçoit un fichier HTML vérolé par e-mail.

S'abonner à 01net

Cette attaque s’appuie sur une implémentation relativement peu sécurisée du principe « Same Origine Policy ». Il vise à cloisonner entre eux les ressources Web dont l’accès se fait par un navigateur pour, par exemple, parer les attaques dites de « cross-site scripting ». Ainsi, un script d’une origine B ne peut pas accéder au contenu d’une origine A. Malheureusement, quand l’origine est un fichier (file://…), le principe n’est pas clairement défini et les approches divergent.

Un cloisonnement trop laxiste

Pour Chrome, Safari et Firefox, chaque fichier est une origine à lui tout seul. Mais pour Firefox, tous les fichiers d’un même répertoire constituent une même origine. Il est donc possible d’accéder à tous les fichiers d’un répertoire depuis l’un d’entre eux.
Autre différence, Firefox autorise l’utilisation de l’interface de programmation « Fetch API » pour les fichiers, ce qui permet d’accéder à leur contenu. Les trois autres navigateurs ne permettent son utilisation qu’en mode HTTP ou HTTPS. La combinaison de ces deux aspects permet de siphonner facilement le contenu d’un répertoire, à condition d’amener l’utilisateur à ouvrir la page malveillante et à cliquer sur un bouton. Ce qui n’est pas très difficile.

En réalité, ce problème n’est pas nouveau. D’après le chercheur, il est même connu depuis… 17 ans. Mais Mozilla fait la sourde oreille et ne semble pas beaucoup s’y intéresser.
Contactée par le chercheur, la fondation a simplement confirmé que son implémentation SOP permettait « à chaque URL file:// d’accéder aux fichiers d’un même répertoire ainsi qu’à ceux des sous-répertoires ». En attendant que les développeurs de Firefox changent d’avis sur la question, il est conseillé de ne pas télécharger et exécuter des fichiers HTML.

Sources : Note de blog, Hacker News

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Dacia Jogger Test Pack Sleep 028
Un Duster deux fois plus cher : la fin du low cost chez Dacia ?
Dyson V15 Detect Absolute
Dyson V15 Detect Absolute : Cdiscount détruit le prix du balai aspirateur
Bon Plan NordVPN
Exclu VPN : cette promo NordVPN va vous laisser sans voix
Bitcoin Mise Jour Halving
Le Bitcoin s’apprête à changer : tout savoir sur le halving, la 4e mise à jour de la crypto
site porno france
Pornhub, Stripchat et Xvideos devront bien se conformer aux règles européennes du DSA
Meilleures Alternatives à Google One Vpn
Google One va perdre son VPN : quelles sont les meilleures alternatives ?
Calculatrice Macos15
Gros chamboulements en vue pour l’app Calculatrice du Mac
ulys-badge-telepeage-photo
Ne perdez pas plus de temps sur la route des vacances grâce à Ulys (8 mois offerts)
Top téléchargements