Mozilla stoppe Firefox Send, le temps de renforcer le service contre les malwares
Le 08 juillet 2020 à 09h44
3 min
Internet
Internet
Firefox Send a été lancé en mars 2019 comme service de partage de fichiers. Un fonctionnement simple : on envoie les données à Send (dans la limite de 2,5 Go), qui fournit alors un lien de partage.
L’utilisateur définit certains paramètres optionnels comme le temps que le fichier peut rester sur les serveurs (de 5 min à 7 jours), l’ajout d’un mot de passe ou un nombre de téléchargements à ne pas dépasser. Les données échangées avec les serveurs sont chiffrées de bout en bout.
Malheureusement pour Mozilla, son Send a été lourdement utilisé par les auteurs de malwares. Le processus est on ne peut plus simple : un logiciel malveillant est stocké dans le service, puis le lien est envoyé par email aux personnes à piéger. Il pouvait s’agir aussi bien de campagnes de phishing que de spear phishing (harponnage), quand l’attaque est personnalisée pour cibler une personne spécifique.
Ransomwares, troyens bancaires, et autres logiciels espions ont été détectés, avec une hausse notable au cours des derniers mois. FIN7, REVil (Sodinokibi), Ursnif (Dreambot) et Zloader font partie des bestioles ainsi repérées.
Selon le chercheur anglais en sécurité Colin Hardy, interrogé par ZDNet, les auteurs de malwares apprécient particulièrement Send pour trois raisons :
- Les URL émises par le service ont la confiance de la plupart des infrastructures professionnelles
- Le service est fiable et permet de ne pas investir dans de l’hébergement de fichier (même si le stockage n’est que temporaire)
- Les données sont chiffrées, et l’ajout d’un mot de passe permet d’autant plus d’éviter la détection
Alors que la communauté de la cybersécurité demandait surtout l’ajout de boutons pour signaler aussi bien les fichiers que les abus, Mozilla a pris une décision radicale : mettre tout le service en pause.
À ZDNet, un porte-parole de la société a expliqué : « Ces signalements sont profondément inquiétants à de multiples niveaux, et notre organisation agit pour les régler. Nous mettons temporairement Firefox Send hors ligne pendant que nous améliorons le produit ».
Les demandes des chercheurs ont été entendues, mais Mozilla ira plus loin : « Avant de le relancer, nous ajouterons un mécanisme de signalement des abus […], et nous exigerons des utilisateurs voulant partager des contenus via Send de se connecter avec un compte Firefox ».
Il fallait s’attendre à un renforcement de la sécurité, mais la nécessité d’utiliser un compte Firefox vient casser le gros avantage de la solution de Mozilla : sa simplicité. En dépit du nom « Firefox Send », le service n’était en effet pas lié à Firefox et pouvait s’utiliser de n’importe quel navigateur depuis l’adresse send.firefox.com.
L’éditeur n’a fourni aucune date pour le retour de son service.
Le 08 juillet 2020 à 09h44
Commentaires (29)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/07/2020 à 08h54
ça fait un peu p*te comme façon de faire, mais si ça pouvait donner un argument de plus pour adopter Firefox plutôt qu’un autre navigateur, la mesure ne me semble pas plus mal. :)
Le 08/07/2020 à 09h16
Qui aurait pu imaginer qu’un tel service serait ainsi utilisé. " />
Le 08/07/2020 à 09h16
C’est probablement la meilleure méthode, même si assez radicale. Protéger l’image de marque de Firefox et de Mozilla est certainement plus important que le maintient du service.
Le 08/07/2020 à 09h24
Se créer un compte prends 30 secondes et amène quelques avantages comme la synchronisation entre différents appareils, s’il faut une solution un peu radicale pour régler ce problème et améliorer la sécurité du service, cela ne me dérange personnellement pas.
Firefox Send n’est certes à l’origine, pas lié à l’utilisation de Firefox mais reste un service développé par Mozilla, à l’inverse de Pocket par exemple.
Le 08/07/2020 à 09h31
Ce qui est fait sur le chiffrement n’est pas vraiment clair.
“Les données échangées avec les serveurs sont chiffrées de bout en bout.”
Ok, donc les serveurs ne peuvent pas voir les données. Mais on a détecté certains Malware. Donc soit ce n’est pas chiffré, soit les serveurs ont la clé.
“Les données sont chiffrées, et l’ajout d’un mot de passe permet d’autant plus d’éviter la détection”
Donc en pratique, c’est chiffré uniquement lorsqu’un mot de passe est donné ?
Le 08/07/2020 à 09h32
Mais comment font les autres services identiques, qui n’obligent pas à la création d’un compte ?
Le 08/07/2020 à 09h38
Je me trompe peut-être mais d’après ce que je sais et vu, les services de transferts de fichiers à ne pas exiger de comptes ne sont qu’aux nombres de deux, OnionShare mais qui en contre partie, impose l’installation de Tor et Magic Whormhole qui lui par contre, je ne l’ai jamais utilisé, tous les autres que je vois ou vu exigent l’utilisation d’un compte ou l’envoi d’une adresse mail, Firefox Send faisait partie de ses services à ne pas exiger de compte, mais manifestement ça va changer.
Le 08/07/2020 à 10h20
Le 08/07/2020 à 10h21
dl.free.fr : pas de compte ou de mot de passe
Le 08/07/2020 à 10h28
Tout est chiffré, la détection de malware n’a pas était faite par directement par les équipes de mozilla mais par remontés d’informations externes (campagne de fishing avec des liens pointants vers le service.)
edit : grillé par Equilibrium
Le 08/07/2020 à 10h30
Le fichier est chiffré en local par le navigateur en JavaScript via l’API Web Crypto puis il est téléversé sur le serveur de Mozilla. La clef générée (qui servira à déchiffrer le fichier) est ensuite placée dans le lien de partage du fichier.
Si tu mets ce lien de partage de fichier dans un email alors il peut être lu, le site visité automatiquement voir le fichier automatiquement téléchargé par un mécanisme de protection puis le lien ou l’email éventuellement bloqué si une menace est détectée. Le mot de passe permet d’empêcher le téléchargement automatique du fichier et son analyse et donc potentiellement son blocage.
Le 08/07/2020 à 10h31
Il est à noter qu’il fallait déjà avoir un compte Firefox pour envoyer un fichier plus gros que 1Go.
Le 08/07/2020 à 10h40
Ça ruine le service s’il faut créer un compte, il va falloir chercher une alternative.
Le 08/07/2020 à 10h44
Tiens, les malwares ont été plus rapides que les ayants droits.
Le 08/07/2020 à 10h47
La rançon du succès d’un service simple, efficace, fiable et gratuit : il est utilisé pour des abus… Font ch*er ces gens…" />
Le 08/07/2020 à 10h49
Le 08/07/2020 à 10h57
Si le service est réactif pour la suppression des contenus piratés, ils préfèrent normalement le laisser en place et signaler les urls problématiques.
En plus, 7 jours maximum, c’est trop peu pour la plupart des sites pirates.
Le 08/07/2020 à 11h14
Oh non, il y en a bien davantage : WeTransfer, GrosFichier, SwissTransfer, etc.
Le 08/07/2020 à 11h53
Tous ses services demandent au moins une adresse email (sans devoir se créer un compte) mais pour moi ça revient un peu au même, OnionShare par exemple, demande vraiment zéro informations, il demande juste d’installer Tor.
Après comme je l’ai écrit dans mon premier commentaire, si c’est un service qui me convient ça me dérange pas, j’ai déjà un compte Mozilla donc ça ne changera rien pour moi.
Le 08/07/2020 à 11h53
C’est plutôt l’inverse : il y a de nombreux services sans besoin de compte (DL de Free, Transfert Now, We transfer, Swiss Transfer,…), et rares sont ceux qui demandent d’avoir un compte. Et encore, quand ils le font c’est souvent facultatif, c’est pour garder l’historique de envois, ou avoir des options en plus (plus de temps de rétention du fichier, des liens de suppression, etc) : ils n’imposent pas ce compte.
Le 08/07/2020 à 11h56
WeTransfer ne chiffre pas le fichier avant envoie si j’ai bien compris.
“To ensure the protection of your files, they are encrypted when they are being transferred (TLS) and when they are stored (AES-256).” cf. https://wetransfer.zendesk.com/hc/en-us/articles/210092473-Do-you-change-my-transferred-files-
Cette phrase me laisse perplexe.
“As a general rule of thumb; we do not mind what you send, as long as it doesn’t conflict with our Terms of Service.” cf. https://wetransfer.zendesk.com/hc/en-us/articles/208554246-Do-you-look-at-my-files-
Le 08/07/2020 à 11h56
Non non, j’utilise wetransfer de temps en temps et si tu demandes un lien, il n’y a pas besoin de fournir d’adresse mail (c’est d’ailleurs pour cela que je l’utilise ^^)
Le 08/07/2020 à 12h05
J’ai vérifié et je ne vois nulle part ce que tu avances, mais ça m’intéresse un peu donc pourrait-tu plus détaillé ? Quand je me rends sur le site, il faut, indiquer l’adresse mail à la personne qu’on souhaite envoyer, donner le sien, mettre un message (là ça me semble facultatif) puis seulement après transférer le fichier, j’ai regardé sur SwissTransfer et GrosFichiers, pareille donc je comprends pas " /> et c’est pour cela que avant que je ne découvre Firefox Send, j’aimais bien OnionShare mais son défaut est que l’upload pour le destinateur met une plombe ^^
Maintenant j’ai une nouvelle crainte concernant Firefox Send, est-ce qu’un destinataire devra se créer un compte Mozilla pour ouvrir et DL le fichier ou non, j’espère pas.
Le 08/07/2020 à 13h49
Non pas besoin de mail si tu demandes juste un lien : clique sur les … à gauche du bouton “Transférer” et coche plutôt “Obtenir un lien de transfert”
Le 08/07/2020 à 14h21
Non non, je confirme : aucun besoin d’une adresse email pour les services mentionnés. Parfois, c’est un peu caché, mais il est possible d’obtenir le lien direct (plutôt que d’envoyer un mail).
Le 08/07/2020 à 14h33
@QTrEIX
La synchro du compte n’est pas intéressante pour tout le monde, et dans ce cas, ça se traduit par la création de plusieurs comptes. Qui plus est, on parle de stockage dans quel pays et sous quelle juridiction ?
L’autre question qui se pose, c’est est-ce vraiment le rôle de la fondation que de jouer à dropbox ou Framadrop ? Pour ma part, clairement non : la fondation est censée se consacrer sur son navigateur et son client de messagerie. Car c’est bien beau d’être jusqu’au-boutiste en sécurité au point de virer le support des anciens certificats, mais cela se traduit concrètement pas l’utilisation d’un navigateur tiers obligatoire en entreprise. C’est complètement idiot de se tirer ainsi une balle dans le pied, quand un avertissement suffirait.
Qui plus est : maintenant que KaiOS a demandé à Mozilla de remettre à jour le noyau de feu Firefox OS, et qu’on a un pinephone qui vient de sortir a un prix correct, ce serait peut-être le bon moment de ressusciter Firefox OS, et d’arrêter ces initiatives secondaires qui ne servent strictement à rien !
Et je ne parle des désynchronisations thunderbird avec lightning, où là encore, des mises à jour de l’un ou de l’autre font disparaître le calendrier - impardonnable en entreprise ! Ou encore des profils qui ne sont plus compatibles - également impardonnable en entreprise ! Bref : il faudrait vraiment que Mozilla arrête maintenant ses bricolages, et stabilise définitivement ses outils.
Le 09/07/2020 à 09h19
Sinon boîte française :https://fromsmash.com/
Le 09/07/2020 à 13h42
Pas de HTTPS non plus " />
Le 10/07/2020 à 09h12
Merci pour Swiss Transfer !
Marche nickel, meme depuis tel via page web.
Meilleur débit que dl.free.fr mais me manque la fonction ftp.