Grossière attaque contre Firefox

Pour qui ou pour quoi roulent donc Mischa Spiegelmock et Andrew Wbeelsoi, quand ils diffusent à tous vents leur découverte : une vulnérabilité inattendue de Firefox, à un moment d’ailleurs où on parle de la relative supériorité de Firefox dans le domaine de la sécurité ?

La description est précise, et prise au sérieux. Quand le navigateur gère du code Javascript, dans un « fouillis total », disent-ils, « impossible à patcher », on peut exploiter une faille pour prendre le contrôle de l’ordinateur qu’on cible au moment d’une visite de page Web piégée, et installer tout ce qu’on veut ensuite -botnets et tous logiciels publicitaires... Toutes les plate-formes supportées par Firefox (Windows, MacOS X et Linux) apparaissent vulnérables. De plus, les pirates annoncent près de trente failles supplémentaires.

C’est à l’occasion de la conférence ToorCon à San Diego les deux « hackers » ont exposé leur découverte. La Mozilla Foundation n’en a pas été prévenue auparavant. Les deux hommes ont pour seuls interlocuteurs, dit-on, les membres de la communauté des Black Hat. Ils ne veulent pas utiliser les voies usuelles de signalement des bugs, rient quand on leur parle de rémunération, et clament qu’ils agissent ainsi pour « le bien-être d’Internet », « pour le bien de la communauté des internautes », ajoutant que ces réseaux leur servent à entrer en communication discrètement avec leurs homologues de tous les pays.

Le problème, c’est, selon la directrice de la sécurité chez Mozilla, qu’ils ont donné « assez d’informations dans leur présentation pour qu’un attaqueur la reproduise ». Et elle ajoute : « Je pense qu’il est malheureux que les utilisateurs soient ainsi exposés au risque, mais il semble que cela ait été leur but.  » La fondation reconnaît dans la faille une variante d’un ancien problème, dont la résolution nécessitera plus de temps qu’un patch ordinaire.

Misha Spiegelmock, qui travaille chez Six Apart, répète partout combien Firefox n’est pas sûr. A cette adresse, on peut lire sa déclaration de bonnes intentions :

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.
I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim. I have no undisclosed Firefox vulnerabilities. The person who was speaking with me made this claim, and I honestly have no idea if he has them or not.
I apologize to everyone involved, and I hope I have made everything as clear as possible.

Il aura du mal à convaincre.