Developpez.com

Le Club des Développeurs et IT Pro

Les cookies des navigateurs permettraient des dénis de service

Et l'auto-complétion d'Internet Explorer 6 et 7 le vol d'informations

Le 2010-08-02 11:25:43, par Idelways, Expert éminent sénior
Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

Il précise qu'il a découvert ce bug durant l'été 2009.

Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

Ou de passer à Internet Explorer 8.

Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.

Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité

Lire aussi :

Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?

Les rubriques (actu, forums, tutos) de Développez :

Applications
Sécurité
Développement Web

Et vous ?

Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?

En collaboration avec Gordon Fowler
  Discussion forum
13 commentaires
  • Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!
    le 02/08/2010 à 13:01
  • Caly4D
    En attente de confirmation mail
    L'un attend 4 jours pour faire un PoC l'autre un an …
    4 jours c'est trop top mais un an c'est clairement trop long
    le 02/08/2010 à 12:11
  • worm83
    Membre éprouvé
    Et puis la mentalité de Microsoft sur ce coup la.... quand tu vois que la fondation Mozilla ou Google te rémunère pour une faille, Microsoft t'ignore voire pire.... ils vont pas recommencer comme à l'époque alors qu'ils avaient fait d'énormes progrès de ce côté la.
    le 02/08/2010 à 12:32
  • buzzkaido
    Membre éclairé
    Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

    Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

    L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

    Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

    Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

    Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
    le 02/08/2010 à 14:38
  • Gordon Fowler
    Expert éminent sénior
    Envoyé par buzzkaido
    Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

    Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

    L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

    Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

    Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

    Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
    Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

    ... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

    Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.
    le 02/08/2010 à 14:57
  • stardeath
    Expert confirmé
    Envoyé par Gordon Fowler
    ... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.
    moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
    le 02/08/2010 à 15:02
  • Inazo
    Membre confirmé
    Bonjour,

    moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
    Ça c'est faux. Pourquoi ? Tout simplement que certaines sociétés pour des raisons qui leurs son propres ne peuvent pas migrer de version d'IE, mais peuvent toujours faire leurs mise à jours.

    Donc l'affirmation est fausse pour une partie du "parc" d'IE 6 et 7.

    Bref la limite des 3000 cookies et intéressante tout de même

    Cordialement,
    le 02/08/2010 à 16:29
  • Shemsu-Hor
    Membre régulier
    Mouais, le coup du DoS est un peu gros, par contre ça force l'utilisateur à taper ses informations a nouveau et ça c'est moyen. En tout cas chapeau à Microsoft pour la réactivité...
    le 03/08/2010 à 11:05
  • doublex
    Membre confirmé
    Firefox a un avantage pour ne pas qu'on se serve de la complétion automatique. L'option "Supprimer l'historique récent". Utile si on est dans un cybercafé.
    le 04/08/2010 à 23:05
  • buzzkaido
    Membre éclairé
    Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?
    le 05/08/2010 à 8:47
  Poster une réponse