Firefox, Internet Explorer 7 :
Page 1 sur 1
Firefox, Internet Explorer 7 :
une faille sur les mots de passe
Par Vincent Hermann, rédaction de PC INpact
Internet Explorer 7 et Firefox 2 sont tous deux concernés par une faille que Robert Chapin, président de Chapin Information Services, a découverte. Jugée critique par les développeurs de Mozilla selon un rapport de bogue mais peu critique selon Secunia, elle permet à un utilisateur malintentionné, via une page HTML spécialement conçue, de récupérer les informations d’identification d’un autre utilisateur.
À la fin du mois d’octobre, cette faille a été utilisée dans une attaque de phishing sur le site MySpace. Un utilisateur s’y était inscrit sous le nom « login_home_index_html ». Une fois enregistré, il a pu créer une page HTML conçue pour exploiter la faille, à la différence que les informations saisies par les autres utilisateurs n’étaient bien entendu pas transmises à MySpace mais à un serveur distant qui les stockait.
Cette faille est explicable par le fait que ni Firefox 2 ni Internet Explorer 7 ne vérifient assez la transmission des mots de passe. En l’occurrence, aucun des deux navigateurs ne vérifie si les informations demandées sont effectivement transmises au serveur qui « a l’air » de les demander. Les navigateurs ne vérifient pas non plus de manière assez approfondie si les informations d’identification doivent être réellement envoyées. Dans le cas de l’attaque sur MySpace, Firefox (sur lequel l’erreur a été découverte en premier) ne vérifie pas si le formulaire vient effectivement de MySpace et ne vérifie pas non plus si les informations seront réellement transmises au serveur de MySpace.
Robert Chapin, qui détaille l’attaque sur son site web, explique qu’Internet Explorer 7 est moins susceptible d’être victime de ce qu’il appelle une attaque par Reverse Cross-Site Request (RCSR). Il publie d’ailleurs une exploitation de cette faille : l’utilisateur commence par entrer un identifiant de connexion et un mot de passe, puis est invité à cliquer sur une vidéo. L’utilisateur est alors redirigé vers Google, et on peut voir alors clairement dans la barre d’adresses que l’identifiant et le mot de passe y sont inscrits en clair.
Gageons que cette faille sera corrigée rapidement par les différents éditeurs.
Par Vincent Hermann, rédaction de PC INpact
Internet Explorer 7 et Firefox 2 sont tous deux concernés par une faille que Robert Chapin, président de Chapin Information Services, a découverte. Jugée critique par les développeurs de Mozilla selon un rapport de bogue mais peu critique selon Secunia, elle permet à un utilisateur malintentionné, via une page HTML spécialement conçue, de récupérer les informations d’identification d’un autre utilisateur.
À la fin du mois d’octobre, cette faille a été utilisée dans une attaque de phishing sur le site MySpace. Un utilisateur s’y était inscrit sous le nom « login_home_index_html ». Une fois enregistré, il a pu créer une page HTML conçue pour exploiter la faille, à la différence que les informations saisies par les autres utilisateurs n’étaient bien entendu pas transmises à MySpace mais à un serveur distant qui les stockait.
Cette faille est explicable par le fait que ni Firefox 2 ni Internet Explorer 7 ne vérifient assez la transmission des mots de passe. En l’occurrence, aucun des deux navigateurs ne vérifie si les informations demandées sont effectivement transmises au serveur qui « a l’air » de les demander. Les navigateurs ne vérifient pas non plus de manière assez approfondie si les informations d’identification doivent être réellement envoyées. Dans le cas de l’attaque sur MySpace, Firefox (sur lequel l’erreur a été découverte en premier) ne vérifie pas si le formulaire vient effectivement de MySpace et ne vérifie pas non plus si les informations seront réellement transmises au serveur de MySpace.
Robert Chapin, qui détaille l’attaque sur son site web, explique qu’Internet Explorer 7 est moins susceptible d’être victime de ce qu’il appelle une attaque par Reverse Cross-Site Request (RCSR). Il publie d’ailleurs une exploitation de cette faille : l’utilisateur commence par entrer un identifiant de connexion et un mot de passe, puis est invité à cliquer sur une vidéo. L’utilisateur est alors redirigé vers Google, et on peut voir alors clairement dans la barre d’adresses que l’identifiant et le mot de passe y sont inscrits en clair.
Gageons que cette faille sera corrigée rapidement par les différents éditeurs.
Sujets similaires
» internet explorer
» Internet Explorer 7.0 bêta dès cet été
» Le correctif d'Internet Explorer est en ligne
» Internet Explorer perd du terrain
» Internet Explorer 8 est-il boudé par les internautes ?
» Internet Explorer 7.0 bêta dès cet été
» Le correctif d'Internet Explorer est en ligne
» Internet Explorer perd du terrain
» Internet Explorer 8 est-il boudé par les internautes ?
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|