ACTUALITES

Alors, faille ou pas faille ? L'annonce, cette semaine, d'une vulnérabilité critique dans Firefox aura fait couler beaucoup d'encre, y compris dans nos colonnes. Et il y avait de quoi : lors de la présentation faite par les deux hackers à l'origine de la découverte, l'affaire était jugée sérieuse par Window Snyder, la responsable de la sécurité de la fondation Mozilla. Cette dernière était même d'accord avec les deux pirates pour reconnaître que la vulnérabilité sera probablement très difficile à corriger.

Ça, c'était il y a deux jours. Depuis, l'annonce est beaucoup moins claire. L'un des deux hacker est revenu sur les propos de son compagnon. Selon Misha Spiegelmock, il ne fallait pas s'affoler : ils n'auraient fait qu'observer la vulnérabilité sans parvenir à l'exploiter au delà d'un crash de l'ordinateur. Mieux : personne, selon eux, n'y serait encore arrivé. Et Spiegelmock va plus loin dans la rétractation. Il ne serait pas au courant des trente vulnérabilités exploitables dans Firefox annoncé par Andrew Wbeelsoi, son confrère, durant leur présentation commune. Notons toutefois qu'il n'affirme pas qu'elles n'existent pas, mais simplement qu'il n'est au courant de rien.

Que reste-t-il de cette annonce ? Pas grand chose pour l'instant, sinon un communiqué de la fondation Mozilla. Window Snyder, notamment, y précise que les recherches se poursuivent pour déterminer si cette vulnérabilité est effectivement exploitable afin d'exécuter du code via le navigateur. Car, et ça n'aide probablement pas à clarifier la situation, selon la fondation, il n'est tout de même pas exclu que quelqu'un parvienne à exploiter cette vulnérabilité. On appellera ça, à défaut d'autre chose, le "principe de précaution"...

Plus d'informations : Le communiqué officiel de la fondation Mozilla (en anglais).