Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les cookies des navigateurs permettraient des dénis de service
Et l'auto-complétion d'Internet Explorer 6 et 7 le vol d'informations

Le , par Idelways

0PARTAGES

0  0 
Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

Il précise qu'il a découvert ce bug durant l'été 2009.

Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

Ou de passer à Internet Explorer 8.

Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.

Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité

Lire aussi :

Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?

Les rubriques (actu, forums, tutos) de Développez :

Applications
Sécurité
Développement Web

Et vous ?

Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Nathanael Marchand
Rédacteur https://www.developpez.com
Le 02/08/2010 à 13:01
Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!
1  0 
Avatar de Caly4D
En attente de confirmation mail https://www.developpez.com
Le 02/08/2010 à 12:11
L'un attend 4 jours pour faire un PoC l'autre un an …
4 jours c'est trop top mais un an c'est clairement trop long
0  0 
Avatar de worm83
Membre éprouvé https://www.developpez.com
Le 02/08/2010 à 12:32
Et puis la mentalité de Microsoft sur ce coup la.... quand tu vois que la fondation Mozilla ou Google te rémunère pour une faille, Microsoft t'ignore voire pire.... ils vont pas recommencer comme à l'époque alors qu'ils avaient fait d'énormes progrès de ce côté la.
0  0 
Avatar de buzzkaido
Membre éclairé https://www.developpez.com
Le 02/08/2010 à 14:38
Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 02/08/2010 à 14:57
Citation Envoyé par buzzkaido Voir le message
Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.
0  0 
Avatar de stardeath
Membre expert https://www.developpez.com
Le 02/08/2010 à 15:02
Citation Envoyé par Gordon Fowler Voir le message
... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.
moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
0  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 02/08/2010 à 16:29
Bonjour,

moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
Ça c'est faux. Pourquoi ? Tout simplement que certaines sociétés pour des raisons qui leurs son propres ne peuvent pas migrer de version d'IE, mais peuvent toujours faire leurs mise à jours.

Donc l'affirmation est fausse pour une partie du "parc" d'IE 6 et 7.

Bref la limite des 3000 cookies et intéressante tout de même

Cordialement,
0  0 
Avatar de Shemsu-Hor
Membre régulier https://www.developpez.com
Le 03/08/2010 à 11:05
Mouais, le coup du DoS est un peu gros, par contre ça force l'utilisateur à taper ses informations a nouveau et ça c'est moyen. En tout cas chapeau à Microsoft pour la réactivité...
0  0 
Avatar de doublex
Membre confirmé https://www.developpez.com
Le 04/08/2010 à 23:05
Firefox a un avantage pour ne pas qu'on se serve de la complétion automatique. L'option "Supprimer l'historique récent". Utile si on est dans un cybercafé.
0  0 
Avatar de buzzkaido
Membre éclairé https://www.developpez.com
Le 05/08/2010 à 8:47
Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?
0  0