Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Safari : une faille critique dans l'auto-complétion
Permet le vol d'informations critiques, Chrome pourrait aussi être touché

Le , par Idelways

23PARTAGES

0  0 
WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X.

Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur.

Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations.

Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog.

Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse.

Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif.

Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript.

Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ».

Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.

Source : Blog de Jeremiah Grossman

Lire aussi :

Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft

Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google

Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla

Google veut réinventer les règles de divulgation des failles *avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Mac
Développement Web

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de cs_ntd
Membre éprouvé https://www.developpez.com
Le 23/07/2010 à 12:57
Citation Envoyé par cbleas Voir le message
non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
Oula

Fait attention mon p'tit gars, c'est un terrain dangereux sur lequel tu t'aventures, ça peut dégénerer en guerre nucléaire un troll comme ça
2  0 
Avatar de Louis Griffont
Inactif https://www.developpez.com
Le 23/07/2010 à 13:24
Pour moi, c'est un hoax ! Apple est une boite sans faille ! Et Google est une boite garantissant un OS inexistant sans faille et sans bug.
3  2 
Avatar de cs_ntd
Membre éprouvé https://www.developpez.com
Le 23/07/2010 à 13:26
Citation Envoyé par Louis Griffont Voir le message
Google est une boite garantissant un OS inexistant sans faille et sans bug.
bien vu
1  0 
Avatar de argonath
Membre averti https://www.developpez.com
Le 23/07/2010 à 12:37
Je ne comprends pas trop pourquoi chrome est cité, le moteur de rendu ne sert à rien pour l'autocomplétion non ?
0  0 
Avatar de cs_ntd
Membre éprouvé https://www.developpez.com
Le 23/07/2010 à 12:54
Mais je pense que l'activation (de manière cachée) de l'autocomplétion et sa validation dépendent du moteur de rendu car il est chargé de l'execution du JS, donc ici de WebKit.

Donc a priori, sur IE ou Mozilla on ne peut pas activer l'autocomplétion par js ? Ont-ils testés ces 2 navigateurs ?

Edit : si ça marche pour chrome, ça rentre en compte pour les 3133,7$ de récompense ? ça peut être considéré comme une faille critique là
0  0 
Avatar de Grimly_old
Membre averti https://www.developpez.com
Le 23/07/2010 à 14:53
Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.
0  0 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 23/07/2010 à 15:34
Citation Envoyé par Grimly Voir le message
Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.
Vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

Une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…
0  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 23/07/2010 à 15:46
Citation Envoyé par JeitEmgie Voir le message
vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
le pigeon qui sommeille en vous les leur fournit gracieusement…

le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…
Vive le Fishing et les personnes qui manquent d'attention quand elles naviguent.
0  0 
Avatar de Marcos Ickx
Expert éminent https://www.developpez.com
Le 23/07/2010 à 20:49
Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

Un proof of concept a été fait et est disponible ici : http://ha.ckers.org/weird/safari_autofill.html

Et ce proof of concept prouve que le problème touche également Google Chrome (j'ai été sur cette page avec Google Chrome, et j'y ai vu mon adresse, code postal, ... qui apparaissait de temps à autre)

Aussi, il semble que cela ne touche pas Safari tournant sur iPhone et iPad. C'est déjà çà.
0  0 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 23/07/2010 à 21:29
Citation Envoyé par Marcos Ickx Voir le message
Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.
la conversation a dévié sur le fishing parce Grimly a évoqué le vol des coordonnées bancaires via cette faille liée à l'auto-completion…

mais qui met ses coordonnées bancaires dans sa fiche perso du Carnet d'Adresses…
0  0