Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 487
    Points
    68 487
    Par défaut Safari: faille critique dans l'auto-complétion qui permettrait le vol d'informations critiques
    Safari: faille critique dans l'auto-complétion
    qui permettrait le vol d'informations critiques, Chrome pourrait aussi être touché



    WhiteHat Security, compagnie spécialisée dans la protection des données critiques sur le web, vient de dévoiler une faille critique dans le navigateur Safari de Apple. Cette faille permettrait aux pirates de voler des informations personnelles enregistrées dans le carnet d'adresses d’OS X.

    Ces attaques exploitent la fonctionnalité d'auto-complétion du navigateur (renseignement automatique d'un formulaire) pour y extirper des informations personnelles sans l'aval de l'utilisateur.

    Il suffit qu'un site web malicieux crée dynamiquement un formulaire avec des champs de texte et des noms appropriés, comme "Adresse" ou "Carte de crédit" et simule les pressions des touches A-Z en JavaScript pour que le navigateur remplisse automatiquement ces champs. Il ne reste alors qu'à transmettre le formulaire pour voler ces informations.

    Cette technique fonctionnerait même si les champs sont cachés dans la page, explique Jeremiah Grossman, responsable technique de WhiteHat Security sur son blog.

    Grossman affirme qu'il a signalé cette vulnérabilité à Apple le 17 juin dernier et qu'il n'a reçu pour l'heure aucune réponse.

    Il n'est pas clair pour l'instant si la vulnérabilité touche uniquement Safari 4 et 5 ou tous les navigateurs fondés sur le moteur de rendu WebKit ...dont Google Chrome. Il est donc recommandé aux utilisateurs des deux navigateurs de désactiver cette option en attendant le correctif.

    Google n'a pas commenté la faille mais a affirmé que l'auto-complétion sur Chrome nécessiterait une confirmation qui ne pourrait pas être mimée en JavaScript.

    Apple n'a pas donné des détails sur cette vulnérabilité mais a admis que « prenant très au sérieux la sécurité et la confidentialité, nous sommes au courant du problème et travaillons sur un correctif ».

    Aucun exploit n'est à ce jour repéré. Mais la facilité de l'exploitation de la faille – et la difficulté à la repérer (aucun malware n'est installé) – laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.


    Source : Blog de Jeremiah Grossman



    Lire aussi :

    Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques, suivent Oracle et Microsoft

    Apple aide le développement de Chromeet corrige deux failles majeures de sécurité du navigateur de Google

    Chrome : 3.133,7 dollars si vous découvrez une faille majeure dans le navigateur, Google surenchérit de 133 dollars sur Mozilla

    Google veut réinventer les règles de divulgation des failles *avec un "guide de bonne conduite" qui mettrait la pression sur les éditeurs




    Les rubriques (actu, forums, tutos) de Développez :

    Sécurité
    Mac
    Développement Web



    En collaboration avec Gordon Fowler

  2. #2
    Membre averti Avatar de argonath
    Homme Profil pro
    Ingénieur d'Etudes
    Inscrit en
    juillet 2009
    Messages
    248
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'Etudes
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2009
    Messages : 248
    Points : 354
    Points
    354
    Par défaut
    Je ne comprends pas trop pourquoi chrome est cité, le moteur de rendu ne sert à rien pour l'autocomplétion non ?

  3. #3
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2006
    Messages : 598
    Points : 1 171
    Points
    1 171
    Par défaut
    Mais je pense que l'activation (de manière cachée) de l'autocomplétion et sa validation dépendent du moteur de rendu car il est chargé de l'execution du JS, donc ici de WebKit.

    Donc a priori, sur IE ou Mozilla on ne peut pas activer l'autocomplétion par js ? Ont-ils testés ces 2 navigateurs ?


    Edit : si ça marche pour chrome, ça rentre en compte pour les 3133,7$ de récompense ? ça peut être considéré comme une faille critique là

    The magic of Opera, La magie de l'Opera
    The mysteries of Space Opera, Les mystères de l'Opera Spatial
    Mr. Know-it-all, M. Je-Sais-Tout
    Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
    The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 038
    Points : 983
    Points
    983
    Par défaut
    non ce n'est pas possible il n'y a pas que microsoft qui a des failles?

  5. #5
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2006
    Messages : 598
    Points : 1 171
    Points
    1 171
    Par défaut
    Citation Envoyé par cbleas Voir le message
    non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
    Oula

    Fait attention mon p'tit gars, c'est un terrain dangereux sur lequel tu t'aventures, ça peut dégénerer en guerre nucléaire un troll comme ça

    The magic of Opera, La magie de l'Opera
    The mysteries of Space Opera, Les mystères de l'Opera Spatial
    Mr. Know-it-all, M. Je-Sais-Tout
    Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
    The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)

  6. #6
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 038
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 038
    Points : 983
    Points
    983
    Par défaut
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    Citation:
    Envoyé par cbleas  
    non ce n'est pas possible il n'y a pas que microsoft qui a des failles?
    Oula
    c'est pas un troll mais si google paie des chercheurs pour trouver les failles des concurrents c'est qu'il n'y a plus de travail pour eux sur ces propres produits.

  7. #7
    Inactif  
    Profil pro
    Inscrit en
    février 2003
    Messages
    4 341
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2003
    Messages : 4 341
    Points : 5 096
    Points
    5 096
    Par défaut
    Pour moi, c'est un hoax ! Apple est une boite sans faille ! Et Google est une boite garantissant un OS inexistant sans faille et sans bug.

  8. #8
    Membre éprouvé Avatar de cs_ntd
    Homme Profil pro
    Développeur .NET
    Inscrit en
    décembre 2006
    Messages
    598
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2006
    Messages : 598
    Points : 1 171
    Points
    1 171
    Par défaut
    Citation Envoyé par Louis Griffont Voir le message
    Google est une boite garantissant un OS inexistant sans faille et sans bug.
    bien vu

    The magic of Opera, La magie de l'Opera
    The mysteries of Space Opera, Les mystères de l'Opera Spatial
    Mr. Know-it-all, M. Je-Sais-Tout
    Prelude in C sharp minor, the most beautiful piano song and the best C sharp prelude ever, Prélude en do dièse mineur, le plus beau morceau de piano et le meilleur prélude au C#
    The Mesmerizing Saphir Division for Nerds, L'Hypnotisante Division Saphire pour les Nerds (HDSN)

  9. #9
    Membre expert
    Homme Profil pro
    Inscrit en
    septembre 2006
    Messages
    2 689
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : septembre 2006
    Messages : 2 689
    Points : 3 795
    Points
    3 795
    Par défaut
    Citation Envoyé par Idelways Voir le message
    …– laisse supposer que des pirates ont déjà dû la repérer et l'utiliser.
    … encore faut-il attirer du chaland sur un site dont les pages web seraient spécialement conçues avec ce code JavaScript - donc avec un formulaire à remplir - pour profiter du fait que le remplissage automatique puisse (et cela seulement si l'option est activée dans les préférences) accéder aux données personnelles de l'utilisateur dans le Carnet d'Adresses (nom prénom adresse tél fax gsm emails)…

    … on a déjà vu plus "rentable" - du côté du pirate s'entend - pour collecter les informations personnelles en grande quantité… (là une heure de Google hacking ramènerait des milliers de profils sans trop se fatiguer…) et dont l'exploitation - frauduleuse ou non - pourrait être payante à très court terme…

  10. #10
    Membre averti
    Inscrit en
    mars 2008
    Messages
    283
    Détails du profil
    Informations forums :
    Inscription : mars 2008
    Messages : 283
    Points : 374
    Points
    374
    Par défaut
    Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
    Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

    Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.

  11. #11
    Membre expert
    Homme Profil pro
    Inscrit en
    septembre 2006
    Messages
    2 689
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : septembre 2006
    Messages : 2 689
    Points : 3 795
    Points
    3 795
    Par défaut
    Citation Envoyé par Grimly Voir le message
    Ne faudrait-il pas empêcher l'auto-completion dans les cas critiques tels que les opérations bancaires ?
    Peu importe le navigateur, que ce bug existe ou pas, une opération bancaire est une opération qui doit être volontaire ...

    Qu'un pirate aille chercher les pseudos de quelqu'un, il peut s'amuser à ça mais ça ne lui avancera pas à grand chose. Par contre des données bancaires c'est bien plus grave.
    Vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
    auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

    Une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
    et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
    le pigeon qui sommeille en vous les leur fournit gracieusement…

    le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
    ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…

  12. #12
    Expert confirmé
    Avatar de Lyche
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    janvier 2007
    Messages
    2 523
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : janvier 2007
    Messages : 2 523
    Points : 5 820
    Points
    5 820
    Billets dans le blog
    4
    Par défaut
    Citation Envoyé par JeitEmgie Voir le message
    vous êtes censés faire vos opérations bancaires sur le site sécurisé de votre banque…
    auto-completion ou pas votre banquier vous connaît… on voit pas très bien pourquoi il s'amuserait à vous voler votre profil…

    une des techniques des pirates pour voler vos informations bancaires est de vous faire croire que vous êtes chez votre banquier alors que vous êtes sur un autre site…
    et une fois qu'ils ont réussi cela, pas besoin de l'auto-completion pour voler plus d'informations…
    le pigeon qui sommeille en vous les leur fournit gracieusement…

    le danger pour l'Internaute commun, serait plutôt - par exemple - des sites de forums apparemment anodins, par exemple un developpez.net dont les gestionnaires se seraient pas très honnêtes, et qui décideraient de profiter de la page d'enregistrement pour "pomper" plus d'informations personnelles que ce que l'Internaute était a priori prêt à communiquer…
    ou des sites spécialement conçus pour attirer un trafic en profitant du hype d'une news bidon, pour avoir une page d'accueil contenant un formulaire invisible qui se remplira automatiquement par JS et s'auto-soumettra avant de rediriger vers une page anodine… mais ils ne voleront jamais plus que ce que vous mettez dans votre fiche personnelle de votre Carnet d'Adresses ET seulement si vous avez activé l'option "Utiliser les informations de mon carnet d'adresse"…
    Vive le Fishing et les personnes qui manquent d'attention quand elles naviguent.
    Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous

    Mon Tutoriel pour apprendre les Agregations
    Consultez mon Blog SQL destiné aux débutants

    Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server

  13. #13
    Expert éminent

    Avatar de Marcos Ickx
    Profil pro
    Inscrit en
    mai 2007
    Messages
    1 557
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : mai 2007
    Messages : 1 557
    Points : 7 096
    Points
    7 096
    Par défaut
    Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.

    Un proof of concept a été fait et est disponible ici : http://ha.ckers.org/weird/safari_autofill.html

    Et ce proof of concept prouve que le problème touche également Google Chrome (j'ai été sur cette page avec Google Chrome, et j'y ai vu mon adresse, code postal, ... qui apparaissait de temps à autre)

    Aussi, il semble que cela ne touche pas Safari tournant sur iPhone et iPad. C'est déjà çà.

  14. #14
    Membre expert
    Homme Profil pro
    Inscrit en
    septembre 2006
    Messages
    2 689
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : septembre 2006
    Messages : 2 689
    Points : 3 795
    Points
    3 795
    Par défaut
    Citation Envoyé par Marcos Ickx Voir le message
    Même pas besoin de fishing pour cela. Suffit que n'importe quel site crée un div qu'il met hors d'affichage, avec un formulaire dans ce div et le javascript qui va avec.
    la conversation a dévié sur le fishing parce Grimly a évoqué le vol des coordonnées bancaires via cette faille liée à l'auto-completion…

    mais qui met ses coordonnées bancaires dans sa fiche perso du Carnet d'Adresses…

  15. #15
    Expert éminent

    Avatar de Marcos Ickx
    Profil pro
    Inscrit en
    mai 2007
    Messages
    1 557
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : mai 2007
    Messages : 1 557
    Points : 7 096
    Points
    7 096
    Par défaut
    Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
    Et pourtant, le proof of concept que j'ai fait tourner sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

    Donc, pourquoi pas mon numéro de carte bancaire ?

  16. #16
    Membre expert
    Homme Profil pro
    Inscrit en
    septembre 2006
    Messages
    2 689
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations forums :
    Inscription : septembre 2006
    Messages : 2 689
    Points : 3 795
    Points
    3 795
    Par défaut
    Citation Envoyé par Marcos Ickx Voir le message
    Sur mon pc, Windows XP, j'ai pas de carnet d'adresse rempli.
    Et pourtant, le proof of concept que j'ai fait tourné sous Google Chrome (sous Pc) affiche mes adresses emails, mon adresse, un userid, ...

    Donc, pourquoi pas mon numéro de carte bancaire ?
    certes…
    toute donnée de la fiche d'un Carnet d'Adresse est susceptible d'être exportée…

    mais apparemment sous Safari et sous Mac, (donc dans le contexte original du problème rencontré…)
    les champs commençant par un nombre ne sont pas touchés… l'auto-fill de Safari ne prévoit pas le remplissage de ces champs… donc les n° de tél ne sont pas touchés non pus…

    Mais de toute évidence, on n'est qu'au début de l'exploration de ce qui est exploitable par ce concept…

Discussions similaires

  1. Gérer l'auto-complétion dans un programme C
    Par fatelmout dans le forum Débuter
    Réponses: 7
    Dernier message: 05/04/2011, 22h23
  2. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 10h01
  3. [XL-2000] valeur dans filtre auto qui ne fonctionne pas
    Par slavovensky dans le forum Macros et VBA Excel
    Réponses: 9
    Dernier message: 20/05/2010, 11h02
  4. Réponses: 0
    Dernier message: 04/02/2009, 13h36
  5. Interdire auto-complétion du navigateur et fonction coller dans un champ
    Par Dakuan dans le forum Balisage (X)HTML et validation W3C
    Réponses: 5
    Dernier message: 30/08/2008, 19h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo