IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Les cookies des navigateurs permettraient des DoS et l'autocomplétion d'Explorer 6 et 7, le vol d’informations
    Les cookies des navigateurs permettraient des DoS
    Et l'auto-complétion d'Internet Explorer 6 et 7, le vol d’informations critiques


    Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

    Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

    Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

    Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

    Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

    Il précise qu'il a découvert ce bug durant l'été 2009.

    Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

    La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

    Ou de passer à Internet Explorer 8.

    Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

    Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

    A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.



    Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité


    Lire aussi :

    Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

    Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

    La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?



    Les rubriques (actu, forums, tutos) de Développez :

    Applications
    Sécurité
    Développement Web



    Et vous ?

    Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?


    En collaboration avec Gordon Fowler

  2. #2
    En attente de confirmation mail
    Profil pro
    Inscrit en
    mars 2010
    Messages
    222
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2010
    Messages : 222
    Points : 365
    Points
    365
    Par défaut
    L'un attend 4 jours pour faire un PoC l'autre un an …
    4 jours c'est trop top mais un an c'est clairement trop long

  3. #3
    Membre éprouvé Avatar de worm83
    Homme Profil pro
    Architecte logiciel
    Inscrit en
    février 2010
    Messages
    459
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Architecte logiciel
    Secteur : Conseil

    Informations forums :
    Inscription : février 2010
    Messages : 459
    Points : 1 105
    Points
    1 105
    Par défaut
    Et puis la mentalité de Microsoft sur ce coup la.... quand tu vois que la fondation Mozilla ou Google te rémunère pour une faille, Microsoft t'ignore voire pire.... ils vont pas recommencer comme à l'époque alors qu'ils avaient fait d'énormes progrès de ce côté la.
    "Le train de tes injures roule sur le rail de mon indifférence."

    "Monde de merde !!"

    Georges Abitbol.

  4. #4
    Rédacteur
    Avatar de Nathanael Marchand
    Homme Profil pro
    Expert .Net So@t
    Inscrit en
    octobre 2008
    Messages
    3 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert .Net So@t
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2008
    Messages : 3 615
    Points : 8 054
    Points
    8 054
    Par défaut
    Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!

  5. #5
    Membre éclairé
    Avatar de buzzkaido
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2004
    Messages
    821
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2004
    Messages : 821
    Points : 726
    Points
    726
    Par défaut
    Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

    Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

    L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

    Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

    Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

    Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

  6. #6
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut
    Citation Envoyé par buzzkaido Voir le message
    Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

    Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

    L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

    Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

    Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

    Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".
    Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

    ... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

    Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.

  7. #7
    Expert confirmé

    Profil pro
    Inscrit en
    février 2006
    Messages
    2 317
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2006
    Messages : 2 317
    Points : 4 490
    Points
    4 490
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    ... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.
    moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.

  8. #8
    Membre confirmé Avatar de Inazo
    Profil pro
    Gérant - société de développement web
    Inscrit en
    avril 2007
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Gérant - société de développement web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 417
    Points : 617
    Points
    617
    Par défaut
    Bonjour,

    moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.
    Ça c'est faux. Pourquoi ? Tout simplement que certaines sociétés pour des raisons qui leurs son propres ne peuvent pas migrer de version d'IE, mais peuvent toujours faire leurs mise à jours.

    Donc l'affirmation est fausse pour une partie du "parc" d'IE 6 et 7.

    Bref la limite des 3000 cookies et intéressante tout de même

    Cordialement,

  9. #9
    Membre régulier
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2010
    Messages : 41
    Points : 79
    Points
    79
    Par défaut
    Mouais, le coup du DoS est un peu gros, par contre ça force l'utilisateur à taper ses informations a nouveau et ça c'est moyen. En tout cas chapeau à Microsoft pour la réactivité...

  10. #10
    Membre confirmé

    Homme Profil pro
    Mâle reproducteur chez Amazon
    Inscrit en
    mars 2006
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Mâle reproducteur chez Amazon

    Informations forums :
    Inscription : mars 2006
    Messages : 207
    Points : 465
    Points
    465
    Par défaut
    Firefox a un avantage pour ne pas qu'on se serve de la complétion automatique. L'option "Supprimer l'historique récent". Utile si on est dans un cybercafé.
    Pour vivre heureux, vivons cachés. Proverbe alien.

  11. #11
    Membre éclairé
    Avatar de buzzkaido
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2004
    Messages
    821
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2004
    Messages : 821
    Points : 726
    Points
    726
    Par défaut
    Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?

  12. #12
    Membre confirmé

    Homme Profil pro
    Mâle reproducteur chez Amazon
    Inscrit en
    mars 2006
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Mâle reproducteur chez Amazon

    Informations forums :
    Inscription : mars 2006
    Messages : 207
    Points : 465
    Points
    465
    Par défaut
    Citation Envoyé par buzzkaido Voir le message
    Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?
    Bien vu.
    Pour vivre heureux, vivons cachés. Proverbe alien.

  13. #13
    Membre éclairé
    Avatar de buzzkaido
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2004
    Messages
    821
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2004
    Messages : 821
    Points : 726
    Points
    726
    Par défaut
    Bien vu.
    Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

    Du coup, bof bof.

  14. #14
    Membre confirmé

    Homme Profil pro
    Mâle reproducteur chez Amazon
    Inscrit en
    mars 2006
    Messages
    207
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Mâle reproducteur chez Amazon

    Informations forums :
    Inscription : mars 2006
    Messages : 207
    Points : 465
    Points
    465
    Par défaut
    Citation Envoyé par buzzkaido Voir le message
    Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

    Du coup, bof bof.
    En effet. Je te fais confiance pour tes tests.
    Perso, j'ai fait un test d'effacement de la dernière heure d'historique.
    Mon numéro de compte bancaire n'est pas apparu, alors que j'avais validé la checkbox "mémoriser".
    Puis j'ai validé de nouveau "mémoriser" après avoir rentré le numéro. Il apparaissait en revenant à la validation.
    Pour être tout à fait sûr de l'efficacité, il faudrait faire le test avec login et password.
    Mais je n'en ai pas besoin. J'ai décidé de ne plus jamais rentrer de login et de password privés dans un cybercafé, ou au boulot.
    Il peut toujours y avoir quelqu'un qui te regarde.
    La plupart des hackers utilisent des biais n'ayant rien à voir avec l'informatique en plus de leurs connaissances en info.

    Paix et félicité.

    Ou paix tout court. (avec une bonne charge nuke)
    Pour vivre heureux, vivons cachés. Proverbe alien.

Discussions similaires

  1. Réponses: 125
    Dernier message: 23/06/2011, 17h46
  2. Les sources du "Curieux Guide des Navigateurs et du Web" disponibles
    Par Idelways dans le forum Général Conception Web
    Réponses: 14
    Dernier message: 09/06/2011, 14h15
  3. Réponses: 0
    Dernier message: 06/06/2011, 16h35
  4. Réponses: 3
    Dernier message: 03/01/2009, 19h59
  5. Réponses: 3
    Dernier message: 02/10/2006, 22h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo