Les extensions de Firefox et la sécurité

En devenant le concurrent privilégié d'Internet Explorer, le navigateur Firefox a inexorablement attisé la convoitise des chercheurs de failles. Ainsi régulièrement, la fondation Mozilla publie des correctifs de sécurité concernant son navigateur.

Avis de sécurité sur Firefox en 2006 :

• CERT-IST/AV-2006.380
• CERT-IST/AV-2006.295
• CERT-IST/AV-2006.205
• CERT-IST/AV-2006.162
• CERT-IST/AV-2006.146
• CERT-IST/AV-2006.051
• CERT-IST/AV-2006.042 

Mais la sécurité de Firefox ne s'arrête pas au code même du navigateur. En effet, ce navigateur peut s'interfacer avec d'autres composants apportant des fonctionnalités supplémentaires, mais qui eux aussi peuvent comporter des faiblesses.

Ces composants se distinguent en 2 catégories :

• les "plugins"
• les "extensions".

 

Les plugins classiques et référencés par Mozilla (Acrobat Reader, Flash Player, Sun Java, Apple Quicktime, Real Player, Shockwave, Windows Media Player - https://addons.mozilla.org/plugins/ ) permettent, en particulier, de pouvoir gérer des formats de fichiers multimédia sous Firefox.

Le suivi en termes de sécurité de ces outils est généralement bien maîtrisé car ils sont édités par des sociétés (Apple, Microsoft, Sun, …) qui mettent en œuvre une communication relativement efficace au niveau des failles rencontrées sur leurs produits. Ainsi, de nombreux avis Cert-IST existent déjà à ce sujet et couvrent tous les plugins officiels de Firefox.

De plus, l'installation des plugins sur un système Microsoft Windows sécurisé nécessite des privilèges non négligeables.

 

Par opposition à ces composants classiques, il y a les extensions (fichiers ".xpi" - (https://addons.mozilla.org/firefox/extensions/), petits utilitaires permettant d'améliorer l'ergonomie du navigateur, la sécurité de la navigation, …. Ces sympathiques outils sont généralement développés par des personnes tierces qui mettent leur logiciel à la disposition de la communauté.

Néanmoins, les extensions fournies par le site web de la fondation Mozilla sont soumises à un certain nombre de règles (http://wiki.mozilla.org/Update:Policy) permettant de garantir aux utilisateurs une relative confiance face aux fonctionnalités réelles du composant et à son suivi dans le temps. Les extensions peuvent être aussi signées afin d'authentifier la source du développement (assez rare). Cependant, ces extensions ne sont pas à l'abri d'une vulnérabilité…. De même, un utilisateur peut se voir proposer une extension malveillante via un fichier "xpi" transmis par e-mail ou téléchargé depuis un site web.

Un autre aspect tout aussi problématique avec les extensions est qu'il n'est pas nécessaire d'être un utilisateur privilégié pour les installer sur le navigateur. N'importe quel utilisateur peut ainsi installer n'importe quelle extension (pour son propre usage). Il devient alors très difficile d'empêcher un utilisateur standard d'installer des extensions sur son poste de travail.

 

Cependant, il existe quelques techniques pour limiter ce type d'installation.

Une contre-mesure simple, mais que ne résistera pas à des utilisateurs chevronnés, est de mettre la variable "xpinstall.enabled" à "false" dans la page de configuration du navigateur (page "about:config").

Cette solution peut être couplée avec une technique plus robuste et proposée au travers d'une extension un peu particulière.
Cette extension permet en fait de créer un package pour personnaliser l'installation de Firefox. Cette extension s'appelle "Client Customization Kit" (CCK - http://www.mozilla.org/projects/cck/firefox/).
Elle permet entre autre, et dans le domaine qui nous intéresse dans cet article :

• de pré-installer des plugins/extensions bien déterminés,
• de bloquer les préférences du navigateur,
• d'empêcher l'accès à la page de configuration "about:config".

Ce kit de personnalisation n'a pas été testé par le Cert-IST, cependant sa relative jeunesse (version 1.0 en mai 2006 - version en cours : 1.0.3) et le retour des utilisateurs laisse entrevoir des ajustements ultérieurs afin de fournir une solution satisfaisante.

 

Ainsi, bien que la sécurisation des navigateurs reste le nerf de la guerre contre les actes de malveillance de masse via le web et que Firefox/Mozilla se positionne comme une alternative au navigateur de Microsoft, le navigateur de la fondation Mozilla doit aussi être utilisé avec prudence. Bien qu'actuellement, les chercheurs de vulnérabilités ne s'intéressent que très peu au domaine sensible des extensions, ce terrain peut s'avérer vite dangereux si un minimum de mesures ne sont pas adoptées vis-à-vis de la sécurisation de ce navigateur…

Il est possible que la version 2 de Firefox, sortie à la fin de ce mois, amène déjà quelques éléments de réponses : "Updates to the extension system: The extension system has been updated to provide enhanced security and to allow for easier localization of extensions." (Release Note : http://www.mozilla.com/en-US/firefox/2.0/releasenotes/). Nous reviendrons plus en détail prochainement sur les évolutions apportées en termes de sécurité par cette nouvelle mouture du navigateur de la fondation Mozilla.