Cette nouvelle règle entrera en vigueur à partir de l’année prochaine, en 2020 et vise à sécuriser l’écosystème d’extensions de Firefox.
Mozilla a annoncé cette semaine que tous les développeurs de modules complémentaires Firefox devront activer une solution d’authentification à deux facteurs (2FA) pour leur compte.
« À partir du début de 2020, les développeurs d’extensions devront activer l’authentification à double facteur sur AMO [addons.mozilla.org, le portail d’extensions de Mozilla] », a déclaré Caitlin Neiman, Community Manager des modules complémentaires de Mozilla.
« Cette mesure est destinée à empêcher les acteurs malveillants de prendre le contrôle des modules complémentaires légitimes et de leurs utilisateurs », a ajouté Neiman.
Lorsque cela se produit, les pirates peuvent utiliser les comptes compromis des développeurs pour envoyer des mises à jour corrompues aux utilisateurs de Firefox au travers des extensions.
Étant donné que les modules complémentaires de Firefox ont une position assez privilégiée dans le navigateur, un attaquant peut utiliser un module complémentaire compromis pour voler des mots de passe, des cookies d’authentification/session, espionner les habitudes de navigation d’un utilisateur ou rediriger les utilisateurs vers des pages de phishing ou des sites de téléchargement de logiciels malveillants.
Ces types d’incidents sont généralement appelés attaques sur la chaîne d’approvisionnement.
Lorsqu’elles se produisent, les utilisateurs finaux n’ont aucun moyen de détecter si une mise à jour complémentaire est malveillante ou non, en particulier lorsqu’une mise à jour corrompue provient du store Mozilla AMO officiel – une source considérée comme sécurisée par tous les utilisateurs de Firefox.
Mieux vaut prévenir que guérir
La décision de Mozilla est la meilleure mesure que le fabricant de navigateurs aurait pu prendre pour éviter de futurs incidents de ce type.
Bien qu’il n’y ait eu aucun cas connu de détournements de compte AMO pour les modules complémentaires de Firefox ces dernières années, de nombreux cas ont été constatés sur Chrome.
Les développeurs d’extensions Chrome sont soumis à un flot constant d’e-mails de phishing via lesquels les pirates tentent d’accéder à leurs comptes Chrome Web Store. ZDNet a documenté une de ces campagnes de phishing de masse contre les développeurs d’extensions Chrome l’année dernière, mais elles se poursuivent encore aujourd’hui.
Ces attaques ciblent principalement les développeurs d’extensions Chrome en raison de la part de marché du navigateur Chrome, actuellement évaluée entre 65 % et 70 %. Firefox, avec seulement 10%, est très probablement une cible moins attrayante pour les groupes criminels. Il est cependant louable de voir Mozilla prendre des mesures préventives.
Source : ZDNet.com