Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Les cookies des navigateurs permettraient des dénis de service
Et l'auto-complétion d'Internet Explorer 6 et 7 le vol d'informations

Le , par Idelways, Expert éminent sénior
Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

Il précise qu'il a découvert ce bug durant l'été 2009.

Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

Ou de passer à Internet Explorer 8.

Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.

Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité

Lire aussi :

Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?

Les rubriques (actu, forums, tutos) de Développez :

Applications
Sécurité
Développement Web

Et vous ?

Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Nathanael Marchand Nathanael Marchand - Rédacteur https://www.developpez.com
le 02/08/2010 à 13:01
Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!
Avatar de buzzkaido buzzkaido - Membre éclairé https://www.developpez.com
le 02/08/2010 à 14:38
Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 02/08/2010 à 14:57
Citation Envoyé par buzzkaido  Voir le message
Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.
Avatar de stardeath stardeath - Membre expert https://www.developpez.com
le 02/08/2010 à 15:02
Citation Envoyé par Gordon Fowler  Voir le message
... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
Avatar de Inazo Inazo - Membre averti https://www.developpez.com
le 02/08/2010 à 16:29
Bonjour,

moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.

Ça c'est faux. Pourquoi ? Tout simplement que certaines sociétés pour des raisons qui leurs son propres ne peuvent pas migrer de version d'IE, mais peuvent toujours faire leurs mise à jours.

Donc l'affirmation est fausse pour une partie du "parc" d'IE 6 et 7.

Bref la limite des 3000 cookies et intéressante tout de même

Cordialement,
Avatar de Shemsu-Hor Shemsu-Hor - Membre régulier https://www.developpez.com
le 03/08/2010 à 11:05
Mouais, le coup du DoS est un peu gros, par contre ça force l'utilisateur à taper ses informations a nouveau et ça c'est moyen. En tout cas chapeau à Microsoft pour la réactivité...
Avatar de doublex doublex - Membre confirmé https://www.developpez.com
le 04/08/2010 à 23:05
Firefox a un avantage pour ne pas qu'on se serve de la complétion automatique. L'option "Supprimer l'historique récent". Utile si on est dans un cybercafé.
Avatar de buzzkaido buzzkaido - Membre éclairé https://www.developpez.com
le 05/08/2010 à 8:47
Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?
Avatar de doublex doublex - Membre confirmé https://www.developpez.com
le 05/08/2010 à 20:00
Citation Envoyé par buzzkaido  Voir le message
Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?

Bien vu.
Avatar de buzzkaido buzzkaido - Membre éclairé https://www.developpez.com
le 06/08/2010 à 9:15
Bien vu.

Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

Du coup, bof bof.
Avatar de doublex doublex - Membre confirmé https://www.developpez.com
le 08/08/2010 à 22:56
Citation Envoyé par buzzkaido  Voir le message
Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

Du coup, bof bof.

En effet. Je te fais confiance pour tes tests.
Perso, j'ai fait un test d'effacement de la dernière heure d'historique.
Mon numéro de compte bancaire n'est pas apparu, alors que j'avais validé la checkbox "mémoriser".
Puis j'ai validé de nouveau "mémoriser" après avoir rentré le numéro. Il apparaissait en revenant à la validation.
Pour être tout à fait sûr de l'efficacité, il faudrait faire le test avec login et password.
Mais je n'en ai pas besoin. J'ai décidé de ne plus jamais rentrer de login et de password privés dans un cybercafé, ou au boulot.
Il peut toujours y avoir quelqu'un qui te regarde.
La plupart des hackers utilisent des biais n'ayant rien à voir avec l'informatique en plus de leurs connaissances en info.

Paix et félicité.

Ou paix tout court. (avec une bonne charge nuke)
Offres d'emploi IT
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil