Firefox se dotera bientôt d’une sécurité contre le “Drive-by download”

Spread the love
  • Yum

Firefox se dotera bientôt d'une sécurité contre le

Mozilla vient d’annoncer le lancement d’une nouvelle fonction de sécurité sur Firefox en octobre. Celle-ci rendra plus difficile pour les pages web malveillantes de lancer des téléchargements automatiques et de placer des fichiers contenant des logiciels malveillants sur l’ordinateur d’un utilisateur. Appelé “drive-by download”, ce type d’attaque existe depuis deux décennies et se produit généralement lorsque les utilisateurs visitent un site web qui contient un code malveillant placé là par un attaquant.

Le rôle du code malveillant est d’abuser des fonctionnalités légitimes des navigateurs et des normes web pour lancer un téléchargement automatique de fichiers ou une invite de téléchargement, dans l’espoir de tromper l’utilisateur et de l’amener à exécuter un fichier malveillant. Il existe de multiples formes de téléchargements “drive-by”, selon la fonction du navigateur que les attaquants décident d’utiliser.

Les navigateurs tels que Chrome, Firefox et Internet Explorer ont, au fil des ans, progressivement déployé diverses formes de protection contre les téléchargements automatiques, mais une protection à 100 % ne peut pas être totalement réalisée parce que les fabricants de navigateurs ne peuvent pas bloquer totalement les fonctionnalités web légitimes et aussi en raison du paysage changeant des attaques web, les attaquants trouvant toujours un nouveau trou à percer.

publicité

Safari pourrait suivre

La dernière série de protections que les fabricants de navigateurs ont décidé de mettre en place contre les téléchargements de type “drive-by” cible une technologie appelée “sandboxed iframes”, qui est souvent utilisée pour charger des publicités et des widgets intégrables (vidéos, pistes musicales, podcasts) sur des sites tiers. L’idée est que les sites web lancent rarement des téléchargements via des iframes de type “sandboxed” puisque la plupart de ces widgets sont généralement utilisés pour intégrer du contenu.

Chrome a été le premier à bloquer les téléchargements initiés à partir d'”iframes en boîte de sable” avec la sortie de Chrome 73, en mars 2019, et l’option a été complètement supprimée dans Chrome 83, en mai 2020. Cette semaine, Firefox a annoncé des projets similaires. A partir de Firefox 82, dont la sortie est prévue le mois prochain, en octobre 2020, Firefox bloquera tous les téléchargements de fichiers provenant d’une iframe en mode “bac à sable”.

La seule situation où les téléchargements seront honorés est si le propriétaire du site web ou le fournisseur de widgets web a un drapeau “allow-download” sur l’iframe ; cependant, la plupart ne le font pas car c’est un risque de sécurité et une raison pour laquelle ils utilisent des iframes de type “sandboxed” dans les premières, plutôt que des iframes classiques. A noter qu’une fonctionnalité similaire a été proposée à l’équipe du Safari WebKit, mais aucun plan n’a encore été établi pour sa mise en œuvre.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *