Archives de catégorie : Firefox

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch, Securite informatique

Firefox : l’IA débusque 423 failles cachées

Mozilla a utilisé des modèles d’IA pour traquer des vulnérabilités profondes dans Firefox, avec un impact direct sur le renseignement cyber défensif.

Mozilla affirme avoir corrigé 423 failles de sécurité découvertes grâce à une méthode d’analyse par intelligence artificielle appliquée à Firefox. L’approche se distingue des audits automatisés classiques : les modèles ne produisent pas seulement des alertes à vérifier. Ils s’intègrent au fuzzing du navigateur, testent des hypothèses, écartent les cas non reproductibles et génèrent des preuves de concept lorsque le bogue est réel. Claude Mythos Preview et Claude Opus ont ainsi révélé des défauts anciens dans HTML, XSLT, WebAssembly, IndexedDB, WebTransport, HTTPS et plusieurs mécanismes internes sensibles.

Une IA branchée sur la mécanique du navigateur

La promesse était connue, le résultat change d’échelle. Mozilla a annoncé une nouvelle utilisation de l’intelligence artificielle dans la recherche de vulnérabilités visant Firefox. Au total, 423 failles de sécurité cachées ont été identifiées puis corrigées par les équipes du navigateur. L’opération ne repose pas sur un simple balayage de code source ni sur une génération massive de signalements incertains. Elle s’appuie sur une intégration directe avec l’infrastructure de fuzzing déjà utilisée pour pousser Firefox dans ses retranchements.

Le fuzzing consiste à soumettre un logiciel à des entrées nombreuses, inattendues ou malformées, afin de provoquer des comportements anormaux. Ici, l’IA ne s’est pas contentée d’observer. Les modèles, notamment Claude Mythos Preview et Claude Opus, ont fonctionné sur plusieurs machines virtuelles, formulé des pistes d’attaque, tenté de les valider, puis éliminé les résultats impossibles à reproduire. Cette étape est essentielle : une alerte non vérifiable consomme du temps, mobilise des experts et brouille la hiérarchie du risque.

L’approche retenue par Mozilla ajoute une couche de tri opérationnel. Lorsqu’un bogue apparaissait exploitable, le système cherchait à produire une preuve de concept. Cette logique rapproche l’analyse automatisée des méthodes utilisées par les chercheurs en sécurité offensifs, qui doivent démontrer qu’une anomalie peut être transformée en scénario concret. Pour les défenseurs, l’intérêt est évident : distinguer un simple dysfonctionnement d’un défaut pouvant servir à compromettre un navigateur, un profil utilisateur ou un environnement isolé.

Les découvertes montrent surtout que certains défauts avaient résisté aux outils classiques pendant de longues périodes. Mozilla cite une faille présente depuis 15 ans dans l’élément HTML legend, ainsi qu’une vulnérabilité vieille de 20 ans dans XSLT. D’autres bogues touchaient le traitement des tableaux HTML, WebAssembly, IndexedDB, WebTransport et HTTPS. Cette variété indique que l’IA n’a pas inspecté une seule surface d’attaque. Elle a exploré plusieurs couches du navigateur, du rendu web aux interfaces de stockage, en passant par les protocoles et les composants d’exécution.

Dans une perspective cyber, cette profondeur compte davantage que le volume brut. Un navigateur moderne concentre des fonctions critiques : interprétation de contenus non fiables, exécution de scripts, gestion mémoire, isolation des processus et échanges réseau. Chaque composant peut devenir un point d’entrée. Une faiblesse ancienne, oubliée dans une partie peu visible du moteur, peut un jour être combinée avec une autre pour former une chaîne d’exploitation. C’est précisément ce type de combinaison que les équipes de renseignement cyber surveillent dans les campagnes avancées.

Des failles anciennes, des défenses qui résistent

Les anomalies identifiées n’étaient pas toutes bénignes. Mozilla mentionne des erreurs d’utilisation après libération, des corruptions de mémoire, des conditions de concurrence dans IPC et des contournements du bac à sable touchant des bibliothèques tierces. Ces catégories sont particulièrement sensibles. Une utilisation après libération peut permettre de manipuler une zone mémoire déjà libérée. Une corruption de mémoire peut ouvrir la voie à une exécution de code. Une condition de concurrence IPC peut perturber les échanges entre processus. Un contournement de bac à sable menace l’un des principaux mécanismes de confinement du navigateur.

L’intérêt de l’expérience tient donc à la nature des bogues. L’IA ne cherchait pas seulement des erreurs visibles ou des comportements incohérents. Elle visait des chaînes complexes, nécessitant une compréhension de l’architecture interne de Firefox. Dans ce cadre, la valeur du modèle tient à sa capacité à proposer des chemins d’exploration que les tests traditionnels n’avaient pas priorisés. Ce n’est pas une substitution complète aux experts humains. C’est une extension de leur champ d’observation, avec une puissance d’essai démultipliée.

Mozilla souligne aussi une limite importante. Les modèles n’ont pas réussi à franchir certaines protections déjà installées dans Firefox. Les changements d’architecture qui figent les prototypes par défaut ont notamment neutralisé des tentatives d’attaque. Ce point est important pour l’analyse défensive : l’IA peut aider à trouver des vulnérabilités, toutefois elle se heurte aux durcissements conçus pour réduire l’impact d’un défaut. Une bonne architecture de sécurité ne supprime pas tous les bogues. Elle rend leur exploitation plus difficile, moins fiable, ou impossible dans certaines conditions.

La correction de 423 vulnérabilités a mobilisé plus de 100 développeurs et relecteurs. Ce chiffre rappelle une réalité souvent sous-estimée : découvrir une faille n’est qu’une partie du travail. Il faut vérifier le signalement, comprendre la cause racine, rédiger un correctif, éviter les régressions, relire le code, intégrer les changements, puis distribuer les mises à jour. Mozilla indique que des corrections ont été incluses dans des versions récentes de Firefox, dont 149.0.2, 150.0.1 et 150.0.2.

La prochaine étape consiste à intégrer l’analyse par IA directement au système d’intégration continue de Firefox. L’objectif n’est plus seulement d’examiner le code existant. Il s’agit aussi de contrôler les nouveaux correctifs avant publication. Cette évolution déplace l’IA vers une fonction de veille permanente, au plus près du cycle de développement. Pour les équipes de sécurité, le gain attendu se situe dans la détection précoce, avant que les vulnérabilités ne s’installent durablement dans le code.

Cette expérimentation montre une tendance nette : l’intelligence artificielle devient un capteur supplémentaire du renseignement cyber, utile quand elle reste encadrée par des preuves, des correctifs et une validation humaine.

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch

Sécuriser Firefox efficacement en quelques clics de souris

4 commentaires
Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Firefox, Leak, Logiciels, Microsoft, Mise à jour, Paiement en ligne, Patch, Piratage

Abuser le HTTPS des sites Internet

Un commentaire
Deux chercheurs en sécurité informatique découvrent une méthode pour abuser les sites Internet en mode sécurisé (https).

Deux informaticiens Belges viennent d’alerter Google, Microsoft et les participants de la Black Hat conférence d’un problème découvert permettant de piéger les sites Internet et leur mode sécurisé, le HTTPS. Pour Tom Van Goethem et Mathy Vanhoef, deux étudiants de l’université de Leuven, la technique exploitée est baptisée HTTP Encrypted Information can be Stolen Through TCP-Windows (HEIST).

L’idée malveillante est d’intercepter les données transmisses, passant par les protocoles de sécurité tels que SSL ou TLS. Bilan, le HTTPS (connexion sécurisé) ne sert plus à rien si l’interception du trafic est orchestré, dans la foulée, par un fichier JavaScript caché sur une page web dédiée, ou exploitée à cet effet. Une publicité diffusée par une régie extérieure, qui elle n’est pas sécurisée, peut permettre cette infiltration.

La présentation des deux doctorants en informatique est disponible ICI. Pour vous protéger de ce genre d’indiscrétion, désactivez les ‘third-party cookies’ dans les paramètres de votre navigateur. Je vais être clair, pas pratique, cela va perturber le bon fonctionnement des sites en HTTPS. Mais en attendant une correction des géants de l’Internet, pas d’autres solutions.

Adobe, Apple, Cybersécurité, Firefox, IBM, iOS, Joomla, Linux, Linux, Logiciels, Microsoft, Mise à jour, Patch

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

Cybersécurité, Firefox, Logiciels, Microsoft, Mise à jour, Patch

Firefox et la navigation privée encore plus avancée

Mozilla a dévoilé la protection contre le pistage au sein de la Navigation privée dans Firefox. Cette fonctionnalité a été développée afin d’offrir aux utilisateurs plus de choix et de contrôle sur leur expérience du Web.

Avec la protection contre le pistage au sein de la Navigation privée, Mozilla permet de garder le contrôle sur les données de navigation récoltées par les sites tiers. Aucun autre navigateur (Chrome, Safari, Microsoft Edge ou Internet Explorer) ne propose un mode de navigation privée permettant de limiter les données que les sites tiers récupèrent.

Navigation privée avec protection contre le pistage
Le mode de navigation privée a été ajouté au navigateur Firefox pour que les internautes gardent le contrôle sur leur confidentialité, en permettant de ne pas enregistrer de données de navigation à la fermeture. Cependant, lorsque vous naviguez en ligne, vous partagez souvent sans le savoir des informations vous concernant avec des sites tiers indépendants des sites que vous visitez, et ce même en utilisant la Navigation privée, quel que soit le navigateur utilisé. Jusqu’à aujourd’hui.

La navigation privée avec protection contre le pistage au sein de Firefox pour Windows, Mac, Android et Linux bloque les contenus tels que les publicités, les outils analytiques et autres boutons de partage sur les réseaux sociaux, pouvant enregistrer votre comportement en ligne à votre insu. Cette nouvelle version de Firefox inclut également un nouveau centre de contrôle rassemblant dans la barre d’adresse les paramètres de sécurité et de confidentialité. Étant donné que les pages web peuvent subir quelques dysfonctionnements lorsque vous bloquez des éléments de pistage, il est possible de désactiver facilement la protection contre le pistage dans la navigation privée pour un site particulier, en passant par le centre de contrôle.

Nouvelle version de Firefox Developer Edition
Mozilla a dévoilé également de nouvelles fonctionnalités au sein de Firefox Developer Edition, telles que des outils avancés pour l’édition d’animations. Mozilla présente DevTools Challengers, un tutoriel qui repose sur la pratique et qui aidera les designers à pleinement tirer parti de ces nouveaux outils d’édition. Grâce à ces outils, les développeurs auront moins l’impression d’écrire un script et plus de créer un film.