Il y a des lundis matin plus difficiles que d'autres... En arrivant au bureau avant-hier, j'apprends par la presse que deux prétendus black hat hackers[1] auraient dévoilé un trou de sécurité dans Firefox lors d'une conférence à San Diego ce week-end. Ils assuraient qu'ils arrivaient à prendre contrôle de la machine à distance, qu'ils en avaient en tout une trentaine de failles similaires à disposition, et que Firefox étant si compliqué qu'il serait "impossible" de préparer des rustines correctrices, d'autant qu'il était prévu qu'ils ne collaboreraient pas avec Mozilla à et effet. Pour prouver leurs dires, les deux prétendus "chercheurs en sécurité" ont montré un exemple de code JavaScript qui, sous certaines conditions, pouvait faire planter le navigateur. Certaines publications se sont emparées de l'affaire, et en ont fait des gorges chaudes.

Window Snyder est allé parler avec Mischa Spiegelmock, l'un des deux orateurs (et employé de la société Six Apart), pour obtenir des précisions sur ces prétendues failles. La réponse fut confondante de naïveté, puisqu'il fut annoncé que tout cela n'était qu'une vaste fumisterie ! (voir l'annonce ensuite publiée par Mischa Spiegelmock, où il présente ses plus plates excuses pour cette mauvaise plaisanterie.)

"Tout ça pour ça", pourrait-on s'exclamer...

Il n'en reste pas moins que nous connaissons maintenant une façon de faire planter Firefox, et les développeurs de Firefox sont d'ores et déjà en train de voir comment résoudre ce problème qui, même s'il est pris au sérieux, est infiniment moins grave que ce qui avait auparavant été annoncé lors de la conférence et repris par les journaux.

Je laisse la parole à ma collègue Window Snyder : "Ce que nous avons là, c'est potentiellement une faille, mais à l'heure qu'il est, c'est surtout un problème de fiabilité (...). Quand on voit un crash, il faut vraiment essayer de comprendre ce qui se passe, et s'il y a ou non un impact en terme de sécurité. Nous n'avons pas encore fait le tour du problème, et nous travaillons donc dessus. Ce qu'il faut qu'on fasse pour les utilisateurs de Firefox, c'est de prendre les choses au sérieux et ne rien laisser au hasard".

Tom Ferris, hacker renommé, explique à CNet : "L'étude de cas figurant dans leurs diapos, c'est en gros un plantage pour manque de mémoire, et pas une vulnérabilité". "Visiblement, ces gens voulaient juste lancer un troll aux médias et aux personnes présentes à la conférence ToorCon"...

Certaines publications ont déjà relayé l'information corrigée :

Notes

[1] Développeurs cherchant des failles de sécurité dans les logiciels à des fins criminelles. Voir la définition sur Wikipedia.