Discussion :

[Idelways]

Les cookies des navigateurs permettraient des DoS
Et l'auto-complétion d'Internet Explorer 6 et 7, le vol d’informations critiques


Au Black Hat 2010, il y'a aussi des « chapeaux blancs » comme Jeremiah Grossman, fondateur et directeur technique de Whitehat Security.

Une semaine après avoir dévoilé une faille dans l'auto-complétion du navigateur Safari (lire notre article), Jeremiah est revenu au Black Hat 2010 de Las Vegas pour présenter sa session: "Pirater l'auto-complétion", qui concerne cette fois Internet Explorer 6 et 7.

Grossman a réalisé une démonstration de faisabilité qui permettrait à l'attaquant de lire les informations d'auto-complétion (mots de passe, identifiants, etc.) présentes sur le navigateur de l'utilisateur.

Ce code est disponible sur le blog de Jeremiah, accompagné d'une vidéo et d'une page HTML de démonstration.

Grossman note que les versions 8 et 9 (actuellement en preview mais dont la beta est annoncée) du navigateur de Microsoft ne souffrent pas de cette faille.

Il précise qu'il a découvert ce bug durant l'été 2009.

Il l'aurait communiquée à Microsoft en décembre dernier, mais à ce jour rien n'a été fait. Un correctif pour combler cette faille ne serait, d'après Grossman, pourtant pas difficile à trouver.

La seule solution en l'absence d'un patch est donc de désactiver complètement l'auto-complétion.

Ou de passer à Internet Explorer 8.

Grossman s'est également intéressé au cookies. La majorité des navigateurs ne supporte pas plus de 3000 cookies. Une fois ce seuil atteint, les anciens cookies sont supprimés pour faire de la place aux nouveaux.

Le chercheur en sécurité a développé un code pour submerger les navigateurs de nouveaux cookies. Résultat, les « anciens » sont supprimés. Les informations des sessions d'identification de l'utilisateur sont alors effacées, le forçant ainsi à se reconnecter.

A l'échelle mondiale, une telle attaque permettrait de créer les conditions idéales pour des dénis de service.



Source : Blog de Jeremiah Grossman, Live démo, preuve de faisabilité


Lire aussi :

Safari : une faille critique dans l'auto-complétion permet le vol d'informations critiques, Chrome pourrait aussi être touché

Un milliard de malwares stoppés par Internet Explorer 8 grâce à son filtre « SmartScreen » : preuve de son efficacité ?

La majorité des sites n'utiliserait pas correctement SSL, selon un chercheur au Black Hat 2010 : la crédibilité du protocole en jeu ?



Les rubriques (actu, forums, tutos) de Développez :

Applications
Sécurité
Développement Web



Et vous ?

Êtes-vous encore parmi les 29% d'utilisateurs sous Explorer 6 ou 7 ?


En collaboration avec Gordon Fowler

[Caly4D]

L'un attend 4 jours pour faire un PoC l'autre un an …
4 jours c'est trop top mais un an c'est clairement trop long

[worm83]

Et puis la mentalité de Microsoft sur ce coup la.... quand tu vois que la fondation Mozilla ou Google te rémunère pour une faille, Microsoft t'ignore voire pire.... ils vont pas recommencer comme à l'époque alors qu'ils avaient fait d'énormes progrès de ce côté la.

[Nathanael Marchand]

Euh, en quoi effacer les cookies et obliger l'utilisateur à se loguer à nouveau provoqueraient un déni de service? J'ai un peu de mal à suivre là!

[buzzkaido]

Ben je suis pas bien sûr... mais imaginons qu'à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 millions, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

[Gordon Fowler]

Ben je suis pas bien sûr... mais imaginons que à la même heure, 100 millions de PC se retrouvent avec les cookies de Hotmail/Gmail/Yahoo etc... effacés.

Sur ces 100 millions, probablement 1 million relancera dans la foulée une authentification sur les mêmes sites.

L'authentification nécessite surement un peu plus de ressources que des requêtes "en cours d'utilisation" : cryptage / comparaison, lecture en BDD...

Donc, fois 1 million, ça occupe pas mal les serveurs. Si dans le lot y'en a un qui craque, les utilisateurs vont s'authentifier sur le serveur d'à côté... qui craquera du coup... et ainsi de suite.

Soit je suis à côté de la plaque, soit c'est bien ce scénario qui est envisagé... et là j'ai envie de dire "faut pas déconner"

Car pour faire craquer un serveur de Gmail ou de Yahoo, faut y aller je pense. Surement pas 1 million de connexions mais plutôt 500 millions. Et pour que 500 millions d'utilisateurs se reconnectent en même temps (ou presque) faut surement infecter 5000 millions de PC. D'où "faut pas déconner".

Oui tout a fait, je crois bien que c'est le sens de sa démonstration.

... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

Son exemple de DoS, je pense que c'est plus une manière de dire que les navigateurs devraient être plus stricts sur les cookies.

[stardeath]

... Mais au final ce qui le préoccupe le plus c'est bien l'auto-complétion et le manque de réponse à un problème facile de la part de Microsoft.

moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.

[Inazo]

Bonjour,

moi je vois ie 6 et 7, si des gens ont encore ces versions d'ie, c'est qu'ils n'appliqueront pas non plus les patchs de sécurité.

Ça c'est faux. Pourquoi ? Tout simplement que certaines sociétés pour des raisons qui leurs son propres ne peuvent pas migrer de version d'IE, mais peuvent toujours faire leurs mise à jours.

Donc l'affirmation est fausse pour une partie du "parc" d'IE 6 et 7.

Bref la limite des 3000 cookies et intéressante tout de même

Cordialement,

[Shemsu-Hor]

Mouais, le coup du DoS est un peu gros, par contre ça force l'utilisateur à taper ses informations a nouveau et ça c'est moyen. En tout cas chapeau à Microsoft pour la réactivité...

[doublex]

Firefox a un avantage pour ne pas qu'on se serve de la complétion automatique. L'option "Supprimer l'historique récent". Utile si on est dans un cybercafé.

[buzzkaido]

Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?

[doublex]

Firefox, Chrome (et IE je crois) proposent l'option "navigation privée"... c'est encore mieux, non ?

Bien vu.

[buzzkaido]

Bien vu.

Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

Du coup, bof bof.

[doublex]

Hum... pas forcement. Je viens de me rendre compte que, en navigation privée sous Firefox, les champs "login" et "mot de passe" ne sont pas pré-remplit quand on arrive sur la page mais l'auto-complétion propose de les remplir avec les valeurs en mémoire...

Du coup, bof bof.

En effet. Je te fais confiance pour tes tests.
Perso, j'ai fait un test d'effacement de la dernière heure d'historique.
Mon numéro de compte bancaire n'est pas apparu, alors que j'avais validé la checkbox "mémoriser".
Puis j'ai validé de nouveau "mémoriser" après avoir rentré le numéro. Il apparaissait en revenant à la validation.
Pour être tout à fait sûr de l'efficacité, il faudrait faire le test avec login et password.
Mais je n'en ai pas besoin. J'ai décidé de ne plus jamais rentrer de login et de password privés dans un cybercafé, ou au boulot.
Il peut toujours y avoir quelqu'un qui te regarde.
La plupart des hackers utilisent des biais n'ayant rien à voir avec l'informatique en plus de leurs connaissances en info.

Paix et félicité.

Ou paix tout court. (avec une bonne charge nuke)