Firefox se dotera bientôt d’une sécurité contre le “drive-by download”
Mozilla vient d’annoncer le lancement d’une nouvelle fonction de sécurité sur Firefox pour octobre. Celle-ci rendra plus difficile pour les pages web malveillantes de lancer des téléchargements automatiques et de placer des fichiers contenant des logiciels malveillants sur l’ordinateur d’un utilisateur. Appelé “drive-by download”, ce type d’attaque existe depuis deux décennies et se produit généralement lorsque les utilisateurs visitent un site web qui contient un code malveillant placé là par un attaquant.
Le rôle du code malveillant est d’abuser des fonctionnalités légitimes des navigateurs et des normes web pour lancer un téléchargement automatique de fichiers ou une invite de téléchargement, dans l’espoir de tromper l’utilisateur et de l’amener à exécuter un fichier malveillant. Il existe de multiples formes de téléchargements “drive-by”, selon la fonction du navigateur que les attaquants décident d’utiliser.
Les navigateurs tels que Chrome, Firefox et Internet Explorer ont, au fil des ans, progressivement déployé diverses formes de protection contre les téléchargements automatiques, mais une protection à 100 % ne peut pas être totalement réalisée, parce que les fabricants des navigateurs ne peuvent pas bloquer totalement les fonctionnalités web légitimes, et aussi en raison du paysage changeant des cyberattaques, les attaquants trouvant toujours un nouveau trou à percer.
Safari pourrait suivre
La dernière série de protections que les fabricants de navigateurs ont décidé de mettre en place contre les téléchargements de type “drive-by” cible une technologie appelée “sandboxed iframe”, qui est souvent utilisée pour charger des publicités et des widgets intégrables (vidéos, pistes musicales, podcasts) sur des sites tiers. L’idée est que les sites web lancent rarement des téléchargements via des iframe de type “sandboxed” puisque la plupart de ces widgets sont généralement utilisés pour intégrer du contenu.
Chrome a été le premier à bloquer les téléchargements initiés à partir de “sandboxed iframe” avec la sortie de Chrome 73, en mars 2019, et l’option a été complètement supprimée dans Chrome 83, en mai 2020. Cette semaine, Firefox a annoncé des projets similaires. A partir de Firefox 82, dont la sortie est prévue le mois prochain, en octobre 2020, Firefox bloquera tous les téléchargements de fichiers provenant d’un iframe en mode “bac à sable”.
La seule situation où les téléchargements seront honorés est si le propriétaire du site web ou le fournisseur de widgets web a un drapeau “allow-download” sur l’iframe. Cependant, la plupart ne le font pas car c’est un risque de sécurité et une raison pour laquelle ils utilisent des iframe de type “sandboxed” dans les premières, plutôt que des iframe classiques. A noter qu’une fonctionnalité similaire a été proposée à l’équipe du Safari WebKit, mais aucun plan n’a encore été établi pour sa mise en œuvre.
Source : ZDNet.com
