Archives par mot-clé : firefox

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch, Securite informatique

Firefox : l’IA débusque 423 failles cachées

Mozilla a utilisé des modèles d’IA pour traquer des vulnérabilités profondes dans Firefox, avec un impact direct sur le renseignement cyber défensif.

Mozilla affirme avoir corrigé 423 failles de sécurité découvertes grâce à une méthode d’analyse par intelligence artificielle appliquée à Firefox. L’approche se distingue des audits automatisés classiques : les modèles ne produisent pas seulement des alertes à vérifier. Ils s’intègrent au fuzzing du navigateur, testent des hypothèses, écartent les cas non reproductibles et génèrent des preuves de concept lorsque le bogue est réel. Claude Mythos Preview et Claude Opus ont ainsi révélé des défauts anciens dans HTML, XSLT, WebAssembly, IndexedDB, WebTransport, HTTPS et plusieurs mécanismes internes sensibles.

Une IA branchée sur la mécanique du navigateur

La promesse était connue, le résultat change d’échelle. Mozilla a annoncé une nouvelle utilisation de l’intelligence artificielle dans la recherche de vulnérabilités visant Firefox. Au total, 423 failles de sécurité cachées ont été identifiées puis corrigées par les équipes du navigateur. L’opération ne repose pas sur un simple balayage de code source ni sur une génération massive de signalements incertains. Elle s’appuie sur une intégration directe avec l’infrastructure de fuzzing déjà utilisée pour pousser Firefox dans ses retranchements.

Le fuzzing consiste à soumettre un logiciel à des entrées nombreuses, inattendues ou malformées, afin de provoquer des comportements anormaux. Ici, l’IA ne s’est pas contentée d’observer. Les modèles, notamment Claude Mythos Preview et Claude Opus, ont fonctionné sur plusieurs machines virtuelles, formulé des pistes d’attaque, tenté de les valider, puis éliminé les résultats impossibles à reproduire. Cette étape est essentielle : une alerte non vérifiable consomme du temps, mobilise des experts et brouille la hiérarchie du risque.

L’approche retenue par Mozilla ajoute une couche de tri opérationnel. Lorsqu’un bogue apparaissait exploitable, le système cherchait à produire une preuve de concept. Cette logique rapproche l’analyse automatisée des méthodes utilisées par les chercheurs en sécurité offensifs, qui doivent démontrer qu’une anomalie peut être transformée en scénario concret. Pour les défenseurs, l’intérêt est évident : distinguer un simple dysfonctionnement d’un défaut pouvant servir à compromettre un navigateur, un profil utilisateur ou un environnement isolé.

Les découvertes montrent surtout que certains défauts avaient résisté aux outils classiques pendant de longues périodes. Mozilla cite une faille présente depuis 15 ans dans l’élément HTML legend, ainsi qu’une vulnérabilité vieille de 20 ans dans XSLT. D’autres bogues touchaient le traitement des tableaux HTML, WebAssembly, IndexedDB, WebTransport et HTTPS. Cette variété indique que l’IA n’a pas inspecté une seule surface d’attaque. Elle a exploré plusieurs couches du navigateur, du rendu web aux interfaces de stockage, en passant par les protocoles et les composants d’exécution.

Dans une perspective cyber, cette profondeur compte davantage que le volume brut. Un navigateur moderne concentre des fonctions critiques : interprétation de contenus non fiables, exécution de scripts, gestion mémoire, isolation des processus et échanges réseau. Chaque composant peut devenir un point d’entrée. Une faiblesse ancienne, oubliée dans une partie peu visible du moteur, peut un jour être combinée avec une autre pour former une chaîne d’exploitation. C’est précisément ce type de combinaison que les équipes de renseignement cyber surveillent dans les campagnes avancées.

Des failles anciennes, des défenses qui résistent

Les anomalies identifiées n’étaient pas toutes bénignes. Mozilla mentionne des erreurs d’utilisation après libération, des corruptions de mémoire, des conditions de concurrence dans IPC et des contournements du bac à sable touchant des bibliothèques tierces. Ces catégories sont particulièrement sensibles. Une utilisation après libération peut permettre de manipuler une zone mémoire déjà libérée. Une corruption de mémoire peut ouvrir la voie à une exécution de code. Une condition de concurrence IPC peut perturber les échanges entre processus. Un contournement de bac à sable menace l’un des principaux mécanismes de confinement du navigateur.

L’intérêt de l’expérience tient donc à la nature des bogues. L’IA ne cherchait pas seulement des erreurs visibles ou des comportements incohérents. Elle visait des chaînes complexes, nécessitant une compréhension de l’architecture interne de Firefox. Dans ce cadre, la valeur du modèle tient à sa capacité à proposer des chemins d’exploration que les tests traditionnels n’avaient pas priorisés. Ce n’est pas une substitution complète aux experts humains. C’est une extension de leur champ d’observation, avec une puissance d’essai démultipliée.

Mozilla souligne aussi une limite importante. Les modèles n’ont pas réussi à franchir certaines protections déjà installées dans Firefox. Les changements d’architecture qui figent les prototypes par défaut ont notamment neutralisé des tentatives d’attaque. Ce point est important pour l’analyse défensive : l’IA peut aider à trouver des vulnérabilités, toutefois elle se heurte aux durcissements conçus pour réduire l’impact d’un défaut. Une bonne architecture de sécurité ne supprime pas tous les bogues. Elle rend leur exploitation plus difficile, moins fiable, ou impossible dans certaines conditions.

La correction de 423 vulnérabilités a mobilisé plus de 100 développeurs et relecteurs. Ce chiffre rappelle une réalité souvent sous-estimée : découvrir une faille n’est qu’une partie du travail. Il faut vérifier le signalement, comprendre la cause racine, rédiger un correctif, éviter les régressions, relire le code, intégrer les changements, puis distribuer les mises à jour. Mozilla indique que des corrections ont été incluses dans des versions récentes de Firefox, dont 149.0.2, 150.0.1 et 150.0.2.

La prochaine étape consiste à intégrer l’analyse par IA directement au système d’intégration continue de Firefox. L’objectif n’est plus seulement d’examiner le code existant. Il s’agit aussi de contrôler les nouveaux correctifs avant publication. Cette évolution déplace l’IA vers une fonction de veille permanente, au plus près du cycle de développement. Pour les équipes de sécurité, le gain attendu se situe dans la détection précoce, avant que les vulnérabilités ne s’installent durablement dans le code.

Cette expérimentation montre une tendance nette : l’intelligence artificielle devient un capteur supplémentaire du renseignement cyber, utile quand elle reste encadrée par des preuves, des correctifs et une validation humaine.

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch

Sécuriser Firefox efficacement en quelques clics de souris

4 commentaires
Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.

Cybersécurité, Firefox, Logiciels, Microsoft, Mise à jour, Patch

Firefox et la navigation privée encore plus avancée

Mozilla a dévoilé la protection contre le pistage au sein de la Navigation privée dans Firefox. Cette fonctionnalité a été développée afin d’offrir aux utilisateurs plus de choix et de contrôle sur leur expérience du Web.

Avec la protection contre le pistage au sein de la Navigation privée, Mozilla permet de garder le contrôle sur les données de navigation récoltées par les sites tiers. Aucun autre navigateur (Chrome, Safari, Microsoft Edge ou Internet Explorer) ne propose un mode de navigation privée permettant de limiter les données que les sites tiers récupèrent.

Navigation privée avec protection contre le pistage
Le mode de navigation privée a été ajouté au navigateur Firefox pour que les internautes gardent le contrôle sur leur confidentialité, en permettant de ne pas enregistrer de données de navigation à la fermeture. Cependant, lorsque vous naviguez en ligne, vous partagez souvent sans le savoir des informations vous concernant avec des sites tiers indépendants des sites que vous visitez, et ce même en utilisant la Navigation privée, quel que soit le navigateur utilisé. Jusqu’à aujourd’hui.

La navigation privée avec protection contre le pistage au sein de Firefox pour Windows, Mac, Android et Linux bloque les contenus tels que les publicités, les outils analytiques et autres boutons de partage sur les réseaux sociaux, pouvant enregistrer votre comportement en ligne à votre insu. Cette nouvelle version de Firefox inclut également un nouveau centre de contrôle rassemblant dans la barre d’adresse les paramètres de sécurité et de confidentialité. Étant donné que les pages web peuvent subir quelques dysfonctionnements lorsque vous bloquez des éléments de pistage, il est possible de désactiver facilement la protection contre le pistage dans la navigation privée pour un site particulier, en passant par le centre de contrôle.

Nouvelle version de Firefox Developer Edition
Mozilla a dévoilé également de nouvelles fonctionnalités au sein de Firefox Developer Edition, telles que des outils avancés pour l’édition d’animations. Mozilla présente DevTools Challengers, un tutoriel qui repose sur la pratique et qui aidera les designers à pleinement tirer parti de ces nouveaux outils d’édition. Grâce à ces outils, les développeurs auront moins l’impression d’écrire un script et plus de créer un film.

Cybersécurité, escroquerie, Mise à jour, Particuliers, Patch, Vie privée

Mozilla change sa politique de sécurité dans Firefox 41

Un commentaire

Mozilla va modifier la sécurité de son navigateur Firefox afin de protéger les utilisateurs des extensions malveillantes. Les add-ons non signés seront interdites.

Firefox 41 est attendu dans les ordinateurs le 22 septembre prochain. Une nouveauté qui se sentira aussi du côté des add-ons proposés dans le butineur. Mozilla va bloquer toutes les extensions qui ne seront pas signées. Les utilisateurs pourront toujours les exécuter, mais à leurs risques et périls.

Mozilla a déclaré que le nouveau processus de signature est nécessaire pour empêcher les utilisateurs d’être exposés à des logiciels pirates. Des widgets qui peuvent injecter des publicités non sollicitées ou, plus dangereux, des scripts malveillants.

À partir de Firefox 42, les développeurs seront tenus de soumettre leurs extensions pour examen. Ils recevront la précieuse « signature » Mozilla avant le déploiement de leur proposition numérique. Les add-ons qui ne seront pas signés, ne pourront pas être installés ou utilisés avec Firefox.

Android, Cyber-attaque, Cybersécurité, Piratage, Smartphone

La batterie de votre téléphone, plus vicieuse que prévue

A la base, une batterie de téléphone portable a pour mission de stocker de l’énergie qui fera fonctionner votre précieux. Des chercheurs découvrent que la pile est capable de vous identifier.

Big Brother semble se cacher un peu partout, aujourd’hui, dans notre vie. Des chercheurs l’Université Catholique de Louvain (KULeuven), en Belgique, ont découvert comment la batterie de votre smartphone est capable de vous identifier. Le mouchard utilise l’API baptisé « battery status » proposé dans le HTML5. A la base, ce « code » permet de connaitre l’état de la batterie de votre ordiphone quand vous visitez un site web. Si votre batterie est trop faible, le site web peut passer en mode « léger » et vous permettre de continuer à surfer.

Quatre chercheurs de la Katholieke Universiteit Leuven et de l’INRIA estiment que cette possibilité technique permet aussi de tracer et découvrir l’identité du visiteur du site Internet utilisateur du « battery status« .

L’application est supportée par Firefox, Chrome et Opéra. Il suffit à l’espion de coupler la durée d’énergie encore présente, en seconde, de la batterie et le pourcentage de cette charge pour en sortir une identification, soit 14 millions de possibilités. Suffisant pour suivre un internaute à la trace. La possibilité existerait aussi pour les ordinateurs portables.

Chiffrement, cryptage, Cyber-attaque, Espionnae, Logiciels, Sécurité

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.