Firefox : une faille vieille de 17 ans donne accès à vos fichiers personnels

 

Mozilla Firefox est victime d’une grave faille de sécurité permettant à un fichier HTML de récupérer une énorme dose de fichiers sur votre ordinateur. Cette faille, considérée comme dangereuse, est pourtant connue de l’éditeur depuis 17 ans.

Mozilla Firefox est l’un des navigateurs internet les plus populaires, il reste le concurrent le plus sérieux de Google Chrome, puisqu’il est également disponible sur différents OS pour ordinateurs ou mobiles.

Mais sa sécurité vient d’être mise à mal, un chercheur en sécurité nommé Barak Tawily a en effet montré un moyen de pirater facilement le navigateur grâce à une faille qui permet à un simple fichier HTML d’accéder à énormément d’autres fichiers rien qu’en l’ouvrant.

Un problème de dossiers

Barak a publié sur YouTube une vidéo montrant comment la faille fonctionne. Il a créé un fichier HTML, se l’est envoyé par mail, l’a ouvert et surprise : il a également récupéré tous les fichiers présents dans le même dossier et les a uploadé sur un serveur.

La faille s’explique par le fait que, contrairement à d’autres navigateurs, Mozilla utilise une politique de même origine pour ses fichiers. Ainsi, le fichier HTML est dans la même origine que les autres fichiers du dossier. Un problème n’arrivant pas sur Chrome par exemple où un fichier a sa propre origine, pas un dossier.

Ce problème, couplé au fait que Firefox utilise l’interface « Fetch API » pour la programmation, interface qui offre l’accès au contenu des fichiers, crée une faille plutôt dangereuse.

Une faille connue depuis 17 ans

On pourrait espérer que Mozilla fasse tout son possible pour la corriger après cette découverte, mais c’est plus compliqué que cela. Selon Barak Tawily, Mozilla connait l’existence de cette faille depuis maintenant 17 ans.

Pourtant, rien n’a été fait chez Mozilla, mais la visibilité accrue de cette faille avec la vidéo de Barak va surement pousser la fondation à agir.