Trou de sécurité malheureux dans l'extension 'anti-hameçonnage' pour Firefox proposée par Google
La société Finjan a alerté Google, il y a un mois de cela, quant à l'existence d'une faille dans son extension anti-phishing pour Firefox. Il se trouve en effet que l'outil anti-hameçonnage permettait, il n'y a pas si longtemps que ça, de récupérer les identifiants et les mots de passe des utilisateurs du navigateur web, logiciel qu'il était pourtant censé sécuriser.
Mais comment cela était-il possible ? Il se trouve en fait que l'outil de Google s'appuie sur une liste noire (blacklist) qui recense les sites web potentiellement dangereux et qu'il alimente lui-même. Cette liste noire est visible par tous, et c'est là que le bât blesse. Certains sites web incluent les identifiants et les mots de passe directement dans l'adresse URL (Uniform Resource Locator). Ainsi, lors de l'envoi d'adresses URL suspectes aux serveurs de Google, des identifiants et des mots de passe ont été envoyés et donc été visibles pour tous pendant un certain temps.
Reste que même si Google a corrigé la faille et fait le grand nettoyage dans cette fameuse liste noire, une telle annonce s'avère réellement inquiétante et remet en doute la confiance que l'on doit accorder à tous ces outils de sécurité...
source : vulnerabilite
