Une vulnérabilité critique a été découverte dans la dernière version du navigateur Mozilla Firefox. L’exploitation de cette dernière permettrait à un attaquant d’usurper l’identité de l’utilisateur et de compromettre son anonymat Tor par le biais d’une attaque man-in-the-middle (MITM).
La vulnérabilité (CVE-2016-5284) a été découverte mardi par un expert en sécurité (@movrcx), par le biais d’attaques contre Tor Browser. Toutefois, selon un rapport publié par le chercheur en sécurité indépendant Ryan Duff, ce problème affecte également les versions stables de Firefox.
“Firefox utilise sa propre méthode d’ancrage de clé statique pour les certifications Mozilla au lieu d’utiliser HPKP. Leur méthode statique semble être beaucoup plus faible que la méthode HPKP et est contournable dans ce scénario d’attaque”, a déclaré Duff.
La faille se situe dans le système d’ancrage de certificat HTTPS du navigateur Web, qui diffère de la norme HPKP IETF approuvé (HTTP Public Key épinglage). Cela permet aux attaquants d’outrepasser les mises à jour du navigateur ainsi que de ses extensions (obtention d’un faux certificat pour addons.mozilla.org), et de compromettre l’anonymat Tor par le biais d’une attaque man-in-the-middle (MITM).
L’équipe du Projet Tor a patché la vulnérabilité au sein de Tor Browser 6.0.5 (mise à jour impérative pour les utilisateurs). Par contre, Mozilla n’a toujours pas encore corrigé la faille critique au sein de Firefox 48.x mais Firefox 49 qui vient tout juste de sortir n’est plus vulnérable.
En conséquence, les utilisateurs de Tor Browser doivent mettre à jour le logiciel vers la version 6.0.5, tandis que les utilisateurs de Firefox doivent passer en version 49 au plus vite.
Les commentaires sont fermés.