Il ne s’agit pas d’un problème très original en soi, étant donné que le Web regorge de sites malveillants. La particularité ici est que des acteurs malveillants ont exploité un bogue de Firefox que les ingénieurs de Mozilla ne semblent pas avoir corrigé dans les 11 années qui ont suivi les premiers signalements en avril 2007.
À l’époque, le problème avait été découvert au sein des principaux navigateurs et il a déjà été corrigé sur Internet Explorer (qui est désormais Microsoft Edge) ainsi que Chrome.
L’exploit du navigateur tire parti de l’intégration d’un iframe dans le code source de sites Web malveillants. L‘iframe malveillant utilise des demandes d’authentification HTTP sur d’autres domaines et présente les sites Web malveillants comme « authentiques », ce qui rend difficile la différenciation entre les sites Web réels et les sites Web factices.
Les acteurs malveillants se servent de cette faille pour des escroqueries liées au support technique, des fermes de publicité qui rechargent la page en boucle avec de nouvelles annonces, des pages qui poussent les utilisateurs à acheter de fausses cartes-cadeaux ou encore des sites proposant des mises à jour malveillantes de logiciels.
Chaque fois que les utilisateurs tentent de partir, une invite d’authentification est déclenchée dans une boucle. Chaque fois que l’utilisateur annule, une nouvelle requête est émise et une nouvelle invite apparaît, le gardant ainsi captif jusqu’à ce qu’il ferme complètement le navigateur et qu’il soit obligé de démarrer une nouvelle session de navigation.
Microsoft a réussi à atténuer ce problème en permettant un délai important entre les invites d’authentification; les utilisateurs disposent de suffisamment de temps pour fermer les onglets malveillants. De son côté, Google a rendu les invites d’authentification exclusives à chaque onglet. Cela signifie que les boîtes de dialogue persistantes d’authentification se contentent de bloquer l’onglet et non le navigateur en entier. Cela permet ainsi à l’utilisateur de fermer facilement l’onglet abusif.
Mozilla, pour sa part, a essayé plusieurs solutions, mais aucune d’entre elles n’a été particulièrement efficace. Résultat ? Un utilisateur a signalé le même problème samedi dernier. Celui ci a atterri sur l’un de ces sites louches qui a tenté de le forcer à installer une extension suspecte de Firefox.
Envoyé par Utilisateur FirefoxLorsque je naviguais sur un site, une fenêtre de publicité s’est affichée, l’adresse de la page commençait par https://mainlink.cool/Au début, je pensais qu’il s’agissait juste d’un site de publicité ennuyeux. Aussi, j’ai voulu le fermer, cependant je n’ai pas réussi.
La page s’est ouverte en mode plein écran. Avec certaines fausses boîtes de dialogues Windows (j’utilise Linux, donc je sais qu’elles sont fausses). Elle a essayé de [me forcer] à installer ses extensions. J’ai donc appuyer sur ESC pour quitter le mode plein écran. J’ai cliqué sur le bouton de fermeture de l’onglet ou de la fenêtre, mais cela n’a pas fonctionné car elle contenait cette boîte de dialogue de connexion. J’ai cliqué sur le bouton de fermeture de la boîte de dialogue de connexion ou sur le bouton d’annulation. La boîte de dialogue est apparue à nouveau. Encore une fois, j’ai cliqué sur le bouton Ne pas autoriser sur la boîte de dialogue proposant de télécharger l’extension, mais cela n’a pas semblé fonctionner. J’ai donc décidé de mettre fin au processus Firefox, c’était la seule solution pour moi.
D’après les réponses sur BugZilla, Mozilla va publier très prochainement un correctif. Cependant, la Fondation n’a pas précisé si elle allait se servir de la solution optée par Microsoft, celle que Google a préféré ou alors créer quelque chose de nouveau pour Firefox.
Source : BugZilla
