Des arnaqueurs se servent d’une faiblesse de Firefox pour piéger des internautes, en leur faisant perdre le contrôle du navigateur. Le problème, identifié par Mozilla, bénéficiera bientôt d’un correctif.

C’est peut-être un comportement que vous avez déjà observé si vous utilisez Firefox : sur certains sites, en particulier ceux qui sont clairement douteux, le navigateur se fait submerger par des messages d’alerte à n’en plus finir, prétextant un problème avec votre ordinateur (infection par un logiciel malveillant, copie piratée de Windows, etc.), avant d’exiger que vous adoptiez tel ou tel comportement, comme appeler un centre d’appel pour résoudre l’incident.

Ce comportement apparaît aussi sur de faux sites de support informatique. Parmi les techniques mises en œuvre pour faire perdre le contrôle du navigateur figure la fenêtre de connexion dans laquelle l’internaute est censé renseigner un identifiant et un mot de passe. Même en cliquant à la chaîne sur le bouton « annuler » ou en multipliant les tentatives de fermeture au niveau de la croix rouge de la boîte de dialogue, impossible de s’en débarrasser.

Firefox message bug

C’est évidemment un piège pour vous arnaquer. C’est technique est appelée « browser lock » ou « browlock », soit « verrouillage du navigateur » en français. Lorsque cet évènement se déclenche, il n’est plus possible de garder le contrôle sur Firefox, puisque le site envoie en permanence des notifications pour empêcher de quitter la page ou de fermer le navigateur. Pour en sortir, c’est souvent par le gestionnaire des tâches qu’il faut passer, afin de fermer de force Firefox, en « tuant » son processus.

Mais comme le pointe The Next Web, cette méthode peut ne pas suffire dans le cas où vous avez la restauration automatique des onglets. En effet, dans ce cas-là, la page qui vous causait des problèmes va revenir et recommencer à vous inonder de messages et d’invites de connexion. Deux tactiques peuvent être alors suivies : soit vous fermez assez vite l’onglet problématique avant qu’il ne se charge ; soit vous vous déconnectez quelques instants d’Internet pour relancer Firefox en hors-ligne.

Un correctif est dans les tuyaux

La bonne nouvelle, cependant, c’est que Mozilla planche sur un correctif qui permettra de contenir ces messages à la chaîne. Comme le note le site Ars Technica, cela fait maintenant trois mois qu’un développeur, Paul Zühlcke, travaille sur une mise à jour du navigateur. Sur Bugzilla, la page de suivi des bugs pour Firefox, un ticket a été ouvert pour décrire l’état d’avancement du chantier. Un autre a aussi été proposé récemment, mais il a été fermé car il faut doublon avec le premier.

« Il est possible d’abuser des messages basiques de confirmation d’authentification pour spammer les utilisateurs et détourner le focus dans la fenêtre principale », observe Paul Zühlcke. « Il ne semble pas y avoir de limitation d’envoi, ce qui permet de l’utiliser également pour un déni de service », ajoute-t-il . Dans les commentaires, plusieurs bugs similaires sont mentionnés, dont certains ont été remontés il y a déjà plusieurs années, mais sans qu’ils n’aient été assignés à quelqu’un.

https://twitter.com/jeromesegura/status/1191446681599954944

L’attention autour de ce correctif vient en fait d’une alerte émise par Jérôme Segura, qui travaille pour le logiciel de sécurité informatique Malwarebytes. Le 4 novembre, il a signalé sur Twitter avoir constaté une nouvelle méthode fonctionnelle de « browser lock » utilisant une technique innovante. L’intéressé a alors voulu écrire un rapport de bug à Mozilla, et c’est là qu’il a découvert qu’un patch était déjà en cours — c’est son signalement, évoqué plus haut, qui a été fermé.

Il ne faudra toutefois pas escompter voir ce correctif arriver avant quelques semaines, vers le 3 décembre lorsque sortira Firefox 71, ou bien le 4 janvier, pour accompagner la mise à jour Firefox 72. C’est ce qu’a confié un représentant de Mozilla à nos confrères. Il faudra en attendant faire preuve de prudence, dans la mesure où cette technique est décrite comme étant activement exploitée. Plusieurs sites l’utilisent, selon Jérôme Segura. D’ici là, faites preuve de prudence en allant sur certains sites.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !