Gestion de mots de passe indiscrète dans Firefox et IE7

Une faille de sécurité concernant la gestion des mots de passe a été découverte dans Firefox. Cette faille concerne l'enregistrement des mots de passe qu'on ne désire pas retaper (via le gestionnaire de mots de passe). En effet ce système est trop peu contrôlé et il est ainsi possible de créer une page Web capable de récupérer des mots de passe qu'elle ne devrait pas connaître.

Qui est vulnérable ?

La faille concerne toutes les versions de Firefox (le gestionnaire de mots de passe n'a pas beaucoup évolué) mais aussi Internet Explorer 7, dans une moindre mesure toutefois. La faille est jugée critique et une preuve de son fonctionnement (PoC) est disponible sur l'Internet. Il est donc fortement recommandé aux utilisateurs de ces navigateurs de désactiver l'enregistrement des mots de passe en attendant que la faille soit colmatée.

La marche à suivre

Pour Firefox 2.0 suivez le chemin Outils - Options - Sécurité puis décochez la case "Enregistrer les mots de passe". Si vous utilisez une version antérieure de Firefox, installez la version 2.0 !

Dans IE7 c'est dans Outils - Options Internet - Contenu - Saisie Semi-automatique - Paramètres, puis décochez la case "Noms d'utilisateurs et mots de passe sur les formulaires".

Dans tous les cas, je ne le dirai jamais assez, maintenez toujours votre navigateur à jour. Les corrections devraient néanmoins se faire automatiquement pour les deux navigateurs, à condition de disposer de la dernière version bien entendu.

Sources

• Firefox : vos mots de passe ne sont pas à l'abri, sur GNT
• Firefox, Internet Explorer 7 : une faille sur les mots de passe, sur PC INpact
• Firefox : un gestionnaire de mots de passe fragile, sur Infos du Net