Discussion :

[Idelways]

Les cookies des navigateurs permettraient des DoS
Et l'auto-complétion d'Internet Explorer 6 et 7, le vol d’informations critiques


Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

Il précise qu'il a découvert ce bug durant l'été 2009.

Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

Ou de passer à Internet Explorer 8.

Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.



Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité


Lire aussi :

Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?



Les rubriques (actu, forums, tutos) de Développez :

Applications
Sécurité
Développement Web



Et vous ?

Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?


En collaboration avec Gordon Fowler

[Caly4D]

L'un attend 4 jours pour faire un PoC l'autre un an …
4 jours c'est trop top mais un an c'est clairement trop long

[worm83]

Et puis la mentalité de Microsoft sur ce coup la.... quand tu vois que la fondation Mozilla ou Google te rémunère pour une faille, Microsoft t'ignore voire pire.... ils vont pas recommencer comme à l'époque alors qu'ils avaient fait d'énormes progrès de ce côté la.

[Nathanael Marchand]

Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!

[buzzkaido]

Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

[Gordon Fowler]

Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.