FIREFOX - Vos mots de passe ne sont pas à l'abri....

[waxmax]

Le navigateur Firefox, toutes moutures confondues, peut fournir vos identifiants et mots de passe sans même que vous vous en aperceviez.
Si vous vous êtes déjà enregistrés auprès de divers sites web, vous avez déjà eu affaire à cette situation. Suite à la saisie d'un identifiant et du mot de passe correspondant, une fenêtre de dialogue s’est ouverte, vous demandant si vous souhaitiez ou non enregistrer ces informations afin de ne pas avoir à les ressaisir ultérieurement. Cette gestion des mots de passe est sujette à un trou de sécurité dans le navigateur Mozilla Firefox. Toutes les versions sont touchées, même la 2.0.


Gare aux mots de passe !
En utilisant une fausse page web demandant un identifiant et un mot de passe et via une requête de type RCSR ( Reverse Cross Site Request ), il est possible de récupérer les informations. Cela a été rendu possible grâce à la présence d'une faille dans le gestionnaire des mots de passe du navigateur. Tout cela passe bien entendu inaperçu aux yeux de l’utilisateur.


Pas de correction disponible pour l'instant
Jusqu'à ce que ladite faille, qualifiée de critique, soit comblée par une mise à jour, il vous est donc vivement recommandé de désactiver la conservation des mots de passe dans les préférences de Firefox.

La démarche à suivre avec la version 2.0 de Firefox est relativement simple. Entrez dans le menu " Outils / Options ". Dans la page qui s'affiche ensuite, cliquez sur le bouton " Sécurité ", puis décochez la case placée devant l'intitulé " Enregistrer les mots de passe ".


Internet Explorer est également touché, mais moins (......)
Utilisateurs de la dernière mouture en date d’Internet Explorer, pensez à faire de même. Celui-ci est également concerné, dans une moindre mesure certes, étant donné qu'il ne sauvegarde pas automatiquement les informations, mais mieux vaut ne prendre aucun risque.

Cliquez sur le menu " Outils " en haut à droit et sélectionnez " Options Internet ". Allez ensuite à l'onglet " Contenu " et cliquez sur le bouton " Paramètres " de la partie " Saisie semi-automatique ". Décochez la case devant l'intitulé " Noms d'utilisateurs et mots de passe sur les formulaires ".


Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Nuxi@]

Çà serait bien d'avoir la source de cette "information".

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Flore]

Super... Tu as le numéro 4.
http://www.geckozone.org/forum/viewtopic.php?t=47932
http://www.geckozone.org/forum/viewtopic.php?t=47953
http://www.geckozone.org/forum/viewtopic.php?t=47981

[spip90]

http://www.lemondeinformatique.fr/actua ... 21446.html

Une faille dans Firefox, cataloguée critique par Mozilla, permettrait à des pirates de récupérer les informations personnelles (identifiant et mot de passe) par le biais de formulaires de publication de contenu en ligne (comme par exemple sur les blogs).
Selon Mozilla, le module de gestion de mots de passe intégré au navigateur (Password Manager) serait défaillant et autoriserait le détournement des mots de passe vers un site pirate.
Une première attaque exploitant la faille avait été enregistrée chez MySpace fin octobre. Les pirates avaient créé un compte sur le site en utilisant un identifiant login_home_index_htm. Cette page avait alors servi de relais vers un faux formulaire destiné à récupérer les données.
"Le problème est que Password Manager n'a pas opéré un contrôle suffisant quand il a décidé d'expédier les données utilisateur, et ainsi ne garantit pas l'acheminement des données au bon serveur", explique Robert Chapin, président de Chapin Information Services, spécialisé dans la sécurité.

Mozilla ne précise pas quelles sont les versions de Firefox frappées par le bogue.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.0; fr; rv:1.8.1) Gecko/20061010 Firefox/2.0

[James]

En voilà un autre avec démonstration

http://www.vnunet.fr/fr/vnunet/news/200 ... -permet-de

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8

[Benoit]

La démarche à suivre avec la version 2.0 de Firefox est relativement simple. Entrez dans le menu " Outils / Options ". Dans la page qui s'affiche ensuite, cliquez sur le bouton " Sécurité ", puis décochez la case placée devant l'intitulé " Enregistrer les mots de passe ".

C'est un peu exagéré ! Là on empêche de retenir n'importe quel mot de passe alors que les sites concernés sont très peu nombreux.

Pour que cela fonctionne, il faut que le site permette aux utilisateurs de publier du code HTML sans le nettoyer correctement. C'est apparemment le cas de MySpace. Alors, si vous avez un compte dessus, vous pouvez simplement le mettre dans la liste des sites pour lesquels ne pas retenir les mots de passe. Soit manuellement, soit en le supprimant de votre gestionnaire de mots de passe et en disant de ne jamais le retenir la prochaine fois qu'on vous le demande.

En règle générale, n'utilisez pas le gestionnaire de mots de passe pour vos mots de passe importants, les attaques inter-sites ça existe mais c'est négligeable par rapport aux risques d'intrusion d'un proche (famille, collègue, ...) qui aurait accès à la machine pendant une absence, même de courte durée.

Encore un petit conseil, si vous voulez que même votre accès au site soit inconnu pour les autres utilisateurs de la machine, utilisez systématiquement "pas cette fois" plutôt que "jamais"