En juin dernier lors de la sortie de Firefox 38.0.5, Mozilla a pris la décision très contestée d'intégrer l'add-on propriétaire Pocket dans Firefox (désormais uniquement sur les versions anglophones), qui permet de sauvegarder des pages web pour les lire plus tard hors ligne, et de synchroniser ces "favoris" entre plusieurs appareils. Pocket avait été intégré en vertu d'un partenariat commercial qui confirme que l'éditeur de logiciels libres glisse de plus en plus vers un modèle économique qui le distingue peu de ses concurrents, fait davantage de publicités que de dons. Une transformation voulue par la nouvelle direction de la fondation Mozilla, mais qui oblige l'éditeur à marcher sur les fragiles oeufs de sa réputation.
Or en réponse aux critiques acerbes reçues notamment sur Bugzilla, sur les newsgroups, sur Hacker News et sur de très nombreux blogs (dont en France Korben), Mozilla avait eu cette réponse que l'on peut résumer ainsi, en préservant un langage correct : "allez vous faire voir". L'éditeur avait en effet affirmé que l'intégration de Pocket dans le navigateur libre était appréciée par les utilisateurs qui ne soucient pas des vues intégristes des libristes, et que le code-source était visible en ce qui concerne le module d'intégration de Pocket dans Firefox. Et qu'au pire, ceux qui n'étaient pas contents pouvaient le désactiver.
Oui mais voilà.
Le chercheur en sécurité informatique Clint Ruoho a découvert une faille exploitable, qui n'était pas logée du côté du module open-source intégré à Firefox, mais du côté serveur. En résumé et en simplifiant à grand trait, Ruoho pouvait envoyer une requête pour mettre dans sa liste de lectures des fichiers protégés présents sur les serveurs de Pocket, qui sont en principe inaccessibles depuis l'extérieur, mais qui sont accessibles par les applications qui mémorisent le contenu à synchroniser entre les appareils. Ainsi le hacker a pu obtenir le contenu du fichier /etc/passwd, et gagner l'accès au serveur en tant que root. Il assure qu'il aurait pu ensuite obtenu les clés SSH des serveurs Amazon EC2 utilisés, les adresses IP internes, ou créer de nouveaux serveurs aux frais de Pocket.
Mais surtout selon le chercheur Ty Miller cité par The Register, la faille aurait pu permettre à un pirate de modifier les listes de lecture des utilisateurs pour y glisser des liens malveillants, ou regarder qui lit quoi.
La faille a été signalée à Pocket le 25 juillet 2015, et corrigée le 28. En raison d'un accord, la divulgation a été retardée de trois semaines.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !