Vol de mots de passe en utilisant le remplissage automatique des formulaires sous Firefox

Résumé

Une vulnérabilité récente, non encore patchée, permet à un pirate informatique de voler les mots de passe enregistrés dans Firefox.

Cette vulnérabilité est causée par un mauvais contrôle de sécurité dans le module de gestion des mots de passe. Des informations personnelles et sensibles telles que des mots de passe peuvent être transmises à l'insu de l'internaute victime vers des sites malicieux et être exploitées par des pirates pour perpétuer des actes de vol d'identité.

Systèmes affectés

Navigateur Internet

• Mozilla Firefox version 1.x
• Mozilla Firefox version 2.x

Risque

Peu critique

Impact et conséquence

• Vol d'identité (nom d'utilisateur et mots de passe)
• Possibilité d'usurpation d'identité

Introduction

Le navigateur Internet Firefox, comme tous les navigateurs du marché, propose une option permettant de se souvenir du nom d'utilisateur et du mot de passe saisis lors de l'authentification sur un site Internet. Cette fonctionnalité, qui s'appelle également remplissage automatique de formulaires, a été mise en place pour simplifier et automatiser la navigation sur les sites demandant une authentification.

En utilisant cette option, l'internaute se contente de saisir une seule fois son nom d'utilisateur et son mot de passe pour un site Internet donné. Une fois saisies, ces informations sont enregistrées dans ce même navigateur. Ensuite, à chaque nouvelle visite sur ce site Internet, le navigateur remplira lui-même ces informations et validera l'accès sans aucune intervention humaine. L'internaute sera alors automatiquement connecté à son espace personnel sans avoir dû saisir manuellement son nom d'utilisateur et son mot de passe.

Description de la vulnérabilité

Le navigateur se base sur l' URL du site Internet pour le reconnaître et savoir quelles données saisir automatiquement dans le formulaire.

C'est en usurpant l'URL qu'un pirate peut, sous certaines conditions, parvenir à tromper le module de gestion des mots de passe du navigateur en lui faisant croire qu'une connexion est établie sur un site de confiance pour lequel des informations (nom d'utilisateur – mot de passe) ont déjà été enregistrées par l'internaute dans le passé.

Un contrôle de sécurité défaillant dans le module de gestion des mots de passe ne permet pas de détecter l'usurpation de l'URL et ceci conduit inévitablement au remplissage automatique du formulaire par le navigateur. Des informations personnelles et sensibles peuvent alors être transmises à l'insu de l'internaute victime vers des sites malicieux et être ensuite exploitées par des pirates pour perpétuer des actes de vol d'identité.

Recommandation

Il ne faut pas confondre simplication, automatisation et sécurité. Ces deux fonctions allant, malheureusement, rarement de paire. Dans l'attente de la publication d'un patch officiel par Mozilla Firefox, CASES Luxembourg recommande de désactiver l'option de sécurité "Remember passwords for sit"e ou "Se souvenir des mots de passe sur votre navigateur Firefox" et de suivre les recommandations de la fiche pratique ne laissez pas votre navigateur gérer vos mots de passe.