IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Safari vulnérable au spoofing d’adresses


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2014
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2014
    Messages : 194
    Points : 12 287
    Points
    12 287
    Par défaut Safari vulnérable au spoofing d’adresses
    Safari vulnérable au spoofing d’adresses
    La faille permet de lancer des attaques de phishing pour tromper l'utilisateur

    David Lea, un chercheur en sécurité informatique vient de publier un script qui permet de tromper les utilisateurs de Safari sur l’adresse d’origine du site visité en utilisant une technique de spoofing.

    Sur l’exemple qu’il montre, le navigateur d’Apple est trompé et affiche l’adresse dailymail.co.uk alors que la page visitée est en réalité deusen.co.uk. Cet exemple a été testé avec succès sur la dernière version de Safari sous iOS et OS X même avec les dernières mises à jour de sécurité installées. Son principe est simple : le code JavaScript que contient la page force le navigateur à visiter un autre site, et cela avant que la page actuelle ne soit chargée. Ceci est répété chaque 10 millisecondes en utilisant la fonction setInterval(), du coup le navigateur n’a pas le temps de modifier l’adresse du site dans la barre d’adresse.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    <script>
    function f()
    {
    location="dailymail.co.uk/home/index.htm…"+Math.random();
    }
    setInterval("f()",10);
    </script>
    Une telle faille de sécurité peut être utilisée pour lancer une attaque de phishing où la personne malveillante fait croire à l’internaute qu’il visite un site officiel, alors que la page affichée est en réalité un faux site similaire au premier et est destiné à voler l’identifiant et le mot de passe de l’utilisateur. Ce dernier, convaincu qu’il visite le site officiel, pourrait très bien entrer le code de sa carte de crédit qui sera ensuite récupéré par le hacker.

    Il semblerait que cette attaque marche bien sous MacBook mais pas les iPad. En effet, la barre d’adresse de Safari sur iPad est périodiquement rafraîchie ce qui permet d’affiche l’adresse réelle de la page visitée. Toutefois, certains utilisateurs pourront quand même être trompés puisqu’il n’est pas commun de revérifier constamment sa barre d’adresse pour voir si l’adresse de la page n’a pas changé.

    Pour rappel, David Leo, avait publié en février dernier une autre démonstration sur SecureLists où il profita d’une importante faille sur Internet Explorer pour injecter du contenu d’un site sur un autre site tout en faisant croire à l’utilisateur qu’il s’agissait d’un contenu interne.

    Source : Net Security

    Et vous ?

    Que pensez-vous de cette vulnérabilité ?

  2. #2
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 802
    Points
    4 802
    Billets dans le blog
    6
    Par défaut
    cela ne ferait pas la deuxième faille de ce genre annoncée en 3 mois ?
    Rien, je n'ai plus rien de pertinent à ajouter

  3. #3
    Membre actif
    Homme Profil pro
    Développeur Concepteur WebMethods
    Inscrit en
    février 2015
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Concepteur WebMethods
    Secteur : Finance

    Informations forums :
    Inscription : février 2015
    Messages : 73
    Points : 207
    Points
    207
    Par défaut
    C'est ce que semble indiquer la fin de l'article.

    En tout cas c'est assez vicieux comme procédé, et donc inquiétant. Car ici même sans être un débutant notoire en informatique et en navigation web, on peut facilement se faire avoir par ce genre de pratique. J'espère pour les possesseurs de Mac qu'Apple réagira rapidement pour corriger cette faille.

    EDIT : Euh ouais, on m'explique le "-1" là ? C'est mal de ne pas être anti-Apple et de souhaiter à ses utilisateurs une correction rapide ? ôo

  4. #4
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2013
    Messages : 1 476
    Points : 4 802
    Points
    4 802
    Billets dans le blog
    6
    Par défaut
    Citation Envoyé par DarkBakura Voir le message
    C'est ce que semble indiquer la fin de l'article.

    En tout cas c'est assez vicieux comme procédé, et donc inquiétant. Car ici même sans être un débutant notoire en informatique et en navigation web, on peut facilement se faire avoir par ce genre de pratique. J'espère pour les possesseurs de Mac qu'Apple réagira rapidement pour corriger cette faille.
    le rapide chez eux c'est 4 mois et une plainte au tribunal
    Rien, je n'ai plus rien de pertinent à ajouter

  5. #5
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    3 008
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 3 008
    Points : 8 340
    Points
    8 340
    Par défaut
    Citation Envoyé par Amine Horseman Voir le message
    Ceci est répété chaque 10 millisecondes en utilisant la fonction setInterval(), du coup le navigateur n’a pas le temps de modifier l’adresse du site dans la barre d’adresse.
    c'est moche mais ça doit pas passer totalement inaperçu, le cpu doit grimper au plafond non ? si quelqu'un a l'opportunité de tester...

  6. #6
    Nouveau membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    février 2015
    Messages
    9
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : février 2015
    Messages : 9
    Points : 26
    Points
    26
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    c'est moche mais ça doit pas passer totalement inaperçu, le cpu doit grimper au plafond non ? si quelqu'un a l'opportunité de tester...
    J'ai testé avec mon iPhone 6 sous iOS 8.1.2 (jailbreaké) : ça clignote très rapidement entre la vraie et la fausse adresse. En gros on voit tout de suite qu'il y a quelque chose qui cloche. Le processeur passe d'une utilisation d'environ 5% à... 100%.

  7. #7
    Membre actif
    Homme Profil pro
    Expertise sécurité
    Inscrit en
    avril 2013
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Expertise sécurité

    Informations forums :
    Inscription : avril 2013
    Messages : 185
    Points : 268
    Points
    268
    Par défaut
    Citation Envoyé par iTruc Voir le message
    J'ai testé avec mon iPhone 6 sous iOS 8.1.2 (jailbreaké) : ça clignote très rapidement entre la vraie et la fausse adresse. En gros on voit tout de suite qu'il y a quelque chose qui cloche. Le processeur passe d'une utilisation d'environ 5% à... 100%.
    Merci pour le test.
    Mais à l'oeil nu c'est invisible... A moins de garder un oeil sur son proc

Discussions similaires

  1. IPFW vulnérable au spoofing
    Par EvilAngel dans le forum BSD
    Réponses: 0
    Dernier message: 19/09/2008, 16h33
  2. Safari -> plantage
    Par AurelBUD dans le forum Balisage (X)HTML et validation W3C
    Réponses: 6
    Dernier message: 19/12/2005, 10h57
  3. [Safari] PB Compatibilité
    Par CUCARACHA dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 12/11/2005, 14h17
  4. location.hash avec Safari et Konqueror
    Par wrmmv dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 06/10/2005, 13h59
  5. [W3C] Y'a-t'il un bon connaisseur de Safari dans la salle ?
    Par El Riiico dans le forum Balisage (X)HTML et validation W3C
    Réponses: 3
    Dernier message: 14/09/2005, 16h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo