21 heures pour protéger les utilisateurs et utilisatrices de Firefox d’une faille zero-day

Lapin hacker devant un ordinateur porable (Studio MV, Pixabay) Le 4 avril 2024, par Cameron Boozarjomehri, sur le blog sécurité de Mozilla

Renforcer rapidement la sécurité de Firefox

Chez Mozilla, nous croyons dans un Web ouvert que l’on peut utiliser en toute sécurité. Pour ce faire, nous améliorons et assurons la sécurité des personnes utilisant Firefox dans le monde entier. Cela suppose de sérieux antécédents en matière de réaction aux bogues de sécurité en circulation – tout particulièrement dans le cadre de programmes de primes aux bogues tel Pwn2Own. À chaque fois que nous découvrons un problème de sécurité critique dans Firefox, nous développons et livrons un correctif rapide.

Ce billet de blog décrit la façon dont nous avons dernièrement créé un correctif pour un exploit divulgué lors du Pwn2Own en moins de 21 heures. Un succès qui n’a été possible que grâce aux efforts concertés et bien coordonnés d’une équipe polyvalente mondiale composée de personnes chargées de l’ingénierie en matière de distribution des versions et de l’assurance qualité, de personnes expertes en sécurité et d’autres protagonistes.

Un peu de contexte

Pwn2Own est un concours annuel de hacking informatique dans lequel les personnes participantes cherchent à découvrir des vulnérabilités de sécurité dans les logiciels majeurs tels que les navigateurs web. Voici deux semaines, cet événement s’est tenu à Vancouver au Canada. Les personnes qui y ont pris part ont scruté tout, de Chrome à Firefox en passant par Safari et MS Word, et même le code en cours d’exécution à bord de votre voiture. Sans entrer dans les détails techniques de l’exploit, nous décrivons dans ce billet comment Mozilla a rapidement répondu aux exploits découverts au cours du Pwn2Own et diffusé des versions correctives.

Pour vous donner une notion de l’échelle, considérez que Firefox est un logiciel colossal : plus de 30 millions de lignes de code, six plateformes (Windows 32 et 64 bits, GNU/Linux 32 et 64 bits, macOS et Android), 90 langues, plus les installateurs, les outils de mises à jour, etc. La sortie d’une telle créature implique une coordination entre de nombreuses équipes pluridisciplinaires réparties sur l’ensemble du globe.

La chronologie du concours Pwn2Own est connue des semaines à l’avance, ce qui permet à Mozilla d’être toujours prêt lorsque le concours se profile à l’horizon ! Le calendrier du train des sorties de Firefox prend en compte la période où se déroule le Pwn2Own. Nous nous efforçons de ne pas expédier de nouvelle version de Firefox aux personnes utilisant Firefox via le canal standard en même temps que se tient le Pwn2Own avec l’espoir d’éviter plusieurs mises à jour rapprochées. Cela signifie également que nous sommes en mesure de fournir une version corrigée de Firefox dès que nous connaissons les failles qui ont – éventuellement – été découvertes.

Que s’est-il donc passé ?

L’exploit découvert à ce Pwn2Own se compose de deux bogues, une nécessité lorsque le contenu web typique est rendu à l’intérieur du fameux bac à sable de navigateur. Ces deux exploits sophistiqués ont nécessité une quantité impressionnante d’efforts pour être révélés et exploités. Il n’en reste pas moins que, dès l’exploit dévoilé, l’équipe d’ingénierie de Mozilla s’est mise au travail et a diffusé une nouvelle version en moins de 21 heures !

Nous ne serons certainement pas le seul navigateur « pwned », nous sommes le seul à combler la faille qui nous touchait. Et oui, avant même que vous ne soyez au courant de cet exploit, nous vous en avions déjà protégé.

Aussi effrayant que cela puisse paraître, les évasions de bac à sable, comme de nombreux exploits affectant les navigateurs, sont un problème commun à tous les navigateurs, à cause de la nature évolutive d’Internet. Les responsables du développement de Firefox sont sans cesse avides de trouver et résoudre ces problèmes de sécurité aussi vite que possible afin de garantir la sécurité de nos utilisateurs et utilisatrices. Nous le faisons de manière continue en délivrant de nouvelles atténuations de risques comme le confinement du win32k, l’isolation de sites, les investissements dans le fuzzing sécuritaire et la promotion de primes pour les bogues pour de telles évasions. Dans un souci d’ouverture et de transparence, nous invitons et récompensons en permanence les spécialistes de la recherche en sécurité qui partagent leurs dernières attaques, ce qui nous aide à assurer la sécurité de nos produits même lorsqu’il n’y a pas de Pwn2Own auquel participer.

Ressources associées

Si vous souhaitez en savoir plus sur les initiatives de Mozilla en matière de sécurité ou sur la sécurité de Firefox, voici quelques ressources pour vous aider à démarrer :

De plus, si vous voulez entreprendre vos propres recherches sur la sécurité dans Firefox, nous vous invitons à suivre notre blog très technique à l’adresse suivante : Attack & Defense – Firefox Security Internals for Engineers, Researchers, and Bounty Hunters.

Précédent billet de blog au sujet du Pwn2Own


Retrouver la prochaine version majeure de Firefox le 16 avril, même s’il y a entretemps une version publiée avec un court délai par Mozilla, mis au courant d’une nouvelle faille critique.


Mozinet

Article précédent sur Firefox : Tester la future fonctionnalité de traduction locale de Firefox

Mozilla lance une nouvelle campagne de tests Foxfooding pour une fonctionnalité extrêmement prometteuse : la traduction de sites en local sans recours au cloud…

Crédit illustration : illustration ajoutée à la traduction : MVStudio sous licence permissive Pixabay.

Comme la version originale, cette traduction est disponible sous la licence CC By-SA 3.0.

Haut de page