Alerte : une faille de spoofing est identifiée dans Firefox

Le navigateur est victime d’une vulnérabilité de type spoofing ayant pour but de dérober les identifiants et donc l’identité d’un internaute.

Aviv Raff, le chercheur israélien à l’origine de cette découverte, explique que cette faille affecte la dernière version 2.0.0.11 de Firefox et selon lui, les versions précédentes sont également concernées.

Dans les faits, la vulnérabilité est suffisamment critique pour permettre à un hacker de récupérer les identifiants d’un utilisateur en lui faisant saisir son mot de passe dans une boîte de dialogue qui semble authentique (voir le visuel sur le site d’Aviv Raff) mais qui en réalité n’a rien de légitime.

D’après Raff, Firefox ne gère pas correctement le paramètre Realm. Ce dernier permet à un internaute qui doit faire face à un message d’erreur renvoyé par un serveur Web d’identifier le domaine de protection.

Raff, explique sur son site Web que cette vulnérabilité permettrait à un cybercriminel d’afficher une fausse boîte de dialogue d’authentification. Les données saisies peuvent ensuite être récupérées par un hacker.

Heureusement pour notre sécurité à tous, le brillant chercheur n’a pas publié de POC (Proof of Concept), mais une vidéo de la vulnérabilité est accessible sur You Tube et sur ce lien.

Pour se protéger de cette menace, Raff conseille de bien vérifier l’authenticité d’un site avant de lui communiquer des données personnelles.