Firefox : un gestionnaire de mots de passe fragile

Bruno Prieur
Par Bruno Prieur | Publié le 23/11/2006 à 10:09
Source : Generation NT | Mots-clés : , , | Thèmes : Microsoft, Microsoft Internet Explorer, Mozilla Firefox, Navigateurs
Syndication : Ajouter à votre page d'accueil Netvibes Ajouter à votre page d'accueil Google

logo de firefox

Au niveau des failles de sécurité, aucun navigateur n’est épargné. En effet, bien qu’Internet Explorer soit souvent évoqué dans ce domaine, aujourd’hui c’est au tour de Firefox de faire les frais d’une mauvaise gestion des mots de passe.

Gestionnaire de mots de passe fragile

Effectivement, tous les utilisateurs du navigateur de la fondation Mozilla connaissent la petite fenêtre d’invitation à garder en mémoire les mots de passe lorsqu’un utilisateur doit s’identifier sur un site. Nul doute que cette fonction soit extrêmement pratique. Pourtant, aujourd’hui, ce module est déclaré comme vulnérable.

Chapin découvre cette faille

C’est Robert Chapin, de la société Chapin Information Services, qui a découvert cette faille. En effet, à l’aide d’une "fausse" page Web nécessitant une identification et à partir une requête de type RCSR (Reverse Cross Site Request), ce dernier a réussi à récupérer les informations confidentielles. Une faille invisible pour l’utilisateur, mais qui peut s’avérer dangereuse selon les sites sur lesquels ce dernier s’enregistre.

IE aussi, mais dans une moindre mesure

Pour le moment, Mozilla travaille sur la correction de cette faille. Toutefois, en attendant le correctif, il est conseillé de désactiver le gestionnaire des mots de passe dans les préférences de Firefox. À noter que Firefox 2.0 est lui aussi concerné. Pour finir, le navigateur de Microsoft dans sa dernière version, 7.0, serait lui aussi touché. Toutefois, celui-ci ne sauvegardant pas les informations automatiquement le danger est moindre. Il est cependant conseillé de désactiver cette option pour ne prendre aucun risque.

Albums relatifs
  Firefox 3 
Firefox 3

19 photos

  Extensions Firefox / Internet Explorer 
Extensions Firefox / Internet Explorer

44 photos

  Trucs et astuces : Firefox 
Trucs et astuces : Firefox

20 photos

  Firefox 
Firefox

33 photos

Annonces Google

Commentaires


kakashi99 23/11/2006 10:33
Masquer
-0+
kakashi99
et Opera est il touché ?
Dams 23/11/2006 12:05
Masquer
-0+
Dams
En parlant du gestionnaire de mot de passe de Firefox, quelqu'un a-t'il déjà remarquer qu'en utilisant le Firefox d'un autre il est ultra simple de voir les mots de passe en clair ?

La seule solution pour ne pas les voir c'est de les protéger par mot de passe, mais là c'est super contraignant pour l'utilisateur qui doit taper le mot de passe à chaque fois qu'il lance Firefox... Pourquoi ne pas avoir simplement protéger l'affichage en clair des mots de passe ?
coca25 23/11/2006 12:11
Masquer
-0+
coca25
Dams a écrit :

En parlant du gestionnaire de mot de passe de Firefox, quelqu'un a-t'il déjà remarquer qu'en utilisant le Firefox d'un autre il est ultra simple de voir les mots de passe en clair ?

La seule solution pour ne pas les voir c'est de les protéger par mot de passe, mais là c'est super contraignant pour l'utilisateur qui doit taper le mot de passe à chaque fois qu'il lance Firefox... Pourquoi ne pas avoir simplement protéger l'affichage en clair des mots de passe ?




Le mot de passe qui protège le gestionnaire n'est à taper qu'une fois par session (tant qu'on ne ferme pas firefox)

Au sujet de la faille, si j'ai bien compris, le gestionnaire de mot de ne vérifie que le domaine de la page, d'ailleurs ce n'est pas une fausse page web, c'est une page d'un utilisateur lambda qui l'héberge sur le domaine demandant l'authentification.

En attendant que la faille soit résolu, il faut faire très attention au endroit ou on rentre le login et le mot de passe en utilisant que les page d'acceuil des sites par exemple
Deathroll 23/11/2006 12:13
Masquer
-0+
Deathroll
Citation :Pour le moment, Mozilla travaille sur la correction de cette faille. Toutefois, en attendant le correctif, il est conseillé de désactiver le gestionnaire des mots de passe dans les préférences de Firefox.


Car vous avez autant de chances d'être victime de la faille en question que de gagner au loto...
Dams 23/11/2006 12:17
Masquer
-0+
Dams
coca25 a écrit :

Le mot de passe qui protège le gestionnaire n'est à taper qu'une fois par session (tant qu'on ne ferme pas firefox)




Oui mais bon personnellement Firefox est sans arrêt fermé puis réouvert pour diminuer la quantité de RAM utilisée...
coca25 23/11/2006 12:31
Masquer
-0+
coca25
ca depends de la memoire que tu as et des extensions que tu as installé, mais tu peux visiter cette page:
http://www.libellules.ch/dotclear/ [...] la-memoire
ca te permettera de limiter la gourmandise de firefox (qui en passant te facilite la vie)
Vedlen 23/11/2006 12:39
Masquer
-0+
Vedlen
Ce que je trouve scandaleux est le bouton "afficher les mots de passe" dans le gestionnaire de mots de passe...
Dams 23/11/2006 15:11
Masquer
-0+
Dams
Vedlen a écrit :

Ce que je trouve scandaleux est le bouton "afficher les mots de passe" dans le gestionnaire de mots de passe...




A noter que c'est de ça que je parle... :D
Vedlen 23/11/2006 15:19
Masquer
-0+
Vedlen
Dams a écrit :

A noter que c'est de ça que je parle... :D




Oui :), je ne fais que de souligner l'aspect graphique du système :bounce:
akred3 23/11/2006 16:30
Masquer
-0+
akred3
Toujours est-il que la meilleure facon pour ces mots de passe est de se servir de son cerveau.(j'en connais environ 30 et je n'est pas de probleme).Ou bien surement la fleme de retaper les mots de passe.
Pour ma part, je constate qu'aucun gestionnaire de mots de passe n'est fiable.
Maintenant, c'est un probleme de memoire ou autre...

A savoir Vous allez poster en tant qu'utilisateur anonyme.



  •
Envoyer le commentaire

Annonces Google