Firefox moins bien armé qu'IE 7 face à la faille des curseur

La fondation Mozilla va renforcer la sécurité de Firefox, plus fragile qu'IE 7 face à la faille des curseurs animés.

Firefox n'aurait pas dû faire confiance à Windows. Contrairement à ce qu'avaient annoncé certains éditeurs de logiciels antivirus, le navigateur de la fondation Mozilla est lui aussi touché par la faille dite des curseurs animés qui a contraint Microsoft à publier de toute urgence un correctif mardi 3 avril.

Les chercheurs de la société Determina, qui ont découvert en décembre dernier la faille de sécurité affectant le module de gestion des curseurs animés de Windows, ont publié mercredi 4 avril sur leur site une vidéo dans laquelle ils montrent comment un pirate peut exploiter cette faille sous Vista à travers Internet Explorer 7 puis à travers Firefox. Cela vient du fait que Firefox utilise le même composant Windows pour gérer les fichiers ANI [la DLL GDI32 qui gère les curseurs animés, NDLR] », explique en anglais le chercheur pendant la démonstration.
Microsoft a publié un correctif et un PC mis à jour n'est plus vulnérable, quel que soit le navigateur utilisé. Mais la démonstration de Détermina montre au passage une nette différence dans le niveau de protection offert par les deux navigateurs sur des PC sur lesquels le correctif n'a pas été appliqué. Avec Internet Explorer, le pirate ne peut pas modifier les fichiers systèmes de la machine car sous Vista, le navigateur fonctionne par défaut dans un mode dit « protégé » (*). Avec Firefox, le pirate peut en revanche accéder à tous les fichiers du disque, système compris.
Mozilla planche sur son propre correctif
Le principe du mode protégé est simple. Internet Explorer fonctionne avec des privilèges d'exécution réduits ce qui lui interdit de modifier les fichiers systèmes de Vista.« Il est vrai que dans ce cas de figure bien précis, Internet Explorer est sans doute mieux protégé que Firefox. Cela ne veut pas dire que la sécurité générale de Firefox soit moins bonne que celle d'IE7 sur Vista et a fortiori sur les autres versions de Windows », explique Tristan Nitot, président de la fondation Mozilla Europe (qui développe Firefox).
Bien que Microsoft diffuse un correctif qui élimine la faille dite des curseurs animés, les équipes de la fondation Mozilla envisagent de colmater cette brèche, dont Microsoft est à l'origine, directement dans Firefox. « Il y a beaucoup d'utilisateurs qui ne téléchargent pas systématiquement les mises à jour de Microsoft -ce que nous conseillons pourtant- et nous allons gérer nous mêmes les curseurs animés dans Firefox. Le prochain patch du navigateur devrait corriger ce problème », justifie Tristant Nitot.
Dans un second temps, Firefox souhaite aussi tirer parti des mécanismes de privilèges de Vista. Un logiciel mis au point par Microsoft baptisé DropMyRights (réduit mes droits en français) permet déjà d'exécuter une application en réduisant ses privilèges. Il est ainsi possible de créer un raccourci qui permette de lancer Firefox dans un mode « protégé ». « Cette solution est intéressante mais elle peut poser problème lors de l'installation de certaines extensions du navigateur ou de programme tiers. Nous allons travailler à intégrer nativement la possibilité d'utiliser des privilèges abaissés dans la prochaine version de Firefox « , explique Tristan Nitot. On n'est jamais mieux servi que par soi-même.
* le « safe mode » (ou mode sans échec en français) de Firefox n'a rien à voir avec le mode protégé d'Internet Explorer 7. Il consiste à désactiver les extensions chargés dans le navigateur lorsqu'un dysfonctionnement est constaté.