La sécurité de la plate-forme d'extensions de Mozilla vient d'être prise en défaut. Deux add-on destinés à Firefox (Windows) ont été diffusées sur le site addons.mozilla.org, alors qu'elles contenaient chacune un cheval de Troie.

Il s'agit de Sothink Web Video Downloader 4.0 les versions postérieures ne sont pas concernées et de Master File.

Jeudi 4 février, la fondation Mozilla a publié sur son blog une alerte dans laquelle elle met en garde les utilisateurs qui auraient téléchargé ces applications. Elle leur recommande de procéder à un scan du PC par antivirus afin d'éliminer les chevaux de Troie. La désinstallation des extensions ne suffit pas pour se débarrasser de ces malwares.

Vol de mots de passe

Sothink Web Video Downloader 4.0 abrite le cheval de Troie Win32.LDPinch.gen, qui selon l'encyclopédie virale de Microsoft, collecte les données personnelles de l'utilisateur comme les mots de passe, avant de les expédier par e-mail à l'auteur de l'attaque. Le tout sans éveiller les soupçons du propriétaire du PC. Dissimulé dans Master File, Win32.Bifrose.32.Bifrose, ouvre une backdoor sur le PC de la victime, permettant à un pirate d'en prendre le contrôle à distance.

Ces deux chevaux de Troie datent de plusieurs années et sont détectés par la plupart des antivirus. Il est donc surprenant de voir qu'ils ont pu passer à travers les procédures de sécurité de la plate-forme de Mozilla, sans être repérés.

La fondation assure pourtant qu'elle procède à un test de détection avant de mettre les extensions à la disposition des internautes. Dans le cas de ces deux modules, les tests de sécurité ont échoué. Mozilla indique que de nouveaux outils de détection ont été ajoutés, ce qui a permis de repérer l'un des chevaux de Troie.

Dès le mois de décembre, des commentaires associés à la fiche de Master File (accessible depuis le cache de Google) mentionnaient pourtant la présence d'un cheval de Troie dans l'extension, il est vraie encore au stade expérimental. Celle-ci a été téléchargée 400 fois, affirme Mozilla, avant d'être retirée de la plate-forme, le 25 janvier dernier.

La menace sur Sothink Web Video Downloader 4. est plus sérieuse. Près de 4 000 internautes se sont procuré l'extension avant son retrait du site de téléchargement, le 2 février 2010.

Source

Firefox : une seule extension était vérolée

La Fondation Mozilla a mis hors de cause Sothink Video Downloader. L’extension, accusée à tort d’abriter un cheval de Troie, a fait son retour sur le site de téléchargement.

C'est ce qu'on appelle un faux positif. Les logiciels de sécurité de la Fondation Mozilla ont détecté – à tort – un logiciel malveillant dans le module Sothink Video Downloader, l'une des extensions destinées à Firefox et qui permet de télécharger des vidéos (notamment au format Flash) avec le navigateur.

Une alerte avait été publiée le 4 février dernier pour avertir les utilisateurs du danger et justifier le retrait du module du site Add-ons Mozilla.

Hier, 9 février, la fondation a fait marche arrière et annoncé le retour de l'extension incriminée. « Nous avons travaillé avec des experts en sécurité et des développeurs pour arriver à la conclusion que le cheval de Troie suspecté d'infecter Sothink Video Downloader n'est qu'un faux positif et que l'extension n'inclut aucun malware, indique Mozilla sur son blog. Nous présentons nos excuses aux utilisateurs et aux développeurs de Sothink pour la gêne occasionnée. »
Alerte maintenue sur Master File

En revanche, l'alerte pour l'extension Master File, également mise à l'index la semaine dernière, est confirmée. Ce module abrite bel et bien un cheval de Troie, Win32.Bifrose.32.Bifrose, capable d'ouvrir une backdoor dans le PC infecté pour permettre à un pirate d'en prendre le contrôle à distance.

La fondation minimise cependant l'ampleur de la contamination. Seulement 700 internautes auraient procédé au téléchargement de l'extension, et non pas 6 000 selon ses précédentes estimations.

01net