Faille sur les mots de passe sur Firefox et IE7

Par:
fredericmazue

ven, 24/11/2006 - 11:05

Firefox 2 et IE7 sont vulnérables à une faille qui permettrait à un attaquant de dérober des mots de passe. Il s'agit d'une vulnérabilité dans la fonctionnalité RCSR (Reverse Cross Site Request). D'après le site du CIS, le Chapin Information Services, qui a revendiqué la découverte de cette faille, cette dernière permet à un attaquant de compromettre les mots de passe et l’identifiant d'un internaute, en envoyant l'utilisateur vers une fausse page d'identification. Le manager de mot de passe des navigateurs va alors automatiquement entrer les mots de passe sauvegardés dans l'espace dédié à cet usage. La donnée saisie est alors automatiquement renvoyée sur l'ordinateur de l'attaquant sans que l'utilisateur piégé ne se doute de rien indique le CIS. Un exploit pour cette faille a déjà été repéré sur le réseau communautaire MySpace et pourrait affecter toutes les personnes susceptibles d'utiliser un weblog ou un forum qui permet l'ajout de code HTML.

D'après le CIS : "les utilisateurs de Firefox et IE doivent être au courant du fait que leurs informations personnelles peuvent être dérobées en visitant un blog ou les forums de sites web, même de renom".

D'après le CIS, une attaque RCSR a plus de chance de réussir qu'une attaque XSS (cross-site scripting) parce que, ni IE7, ni Firefox, n'ont été conçus pour vérifier la destination des données identifiantes. Le navigateur ne déclenche aucune alarme car il considère que l'exploit provient d'une page de confiance.

Pour l'instant, aucun correctif n'a été publié. Cependant d'après Secunia il existe un moyen de se prévenir de cette attaque sur Firefox en empêchant dans le menu préférences, "la sauvegarde des logs", une option qui n'est pas automatique sous IE7. Enfin, le CIS recommande à tous les webmasters de revoir le code du serveur en gardant à l’esprit la possibilité d'injection de XSS et de RCSR, notamment les opérateurs de sites cryptés.