Les lecteurs RSS sont sensibles au Javascript
lun, 07/08/2006 - 17:52
Robert Auger, ingénieur chez SPI Dynamics, a démontré la semaine dernière, lors de la conférence Black Hat, qu'il suffisait d'incorporer un pan de code Javascript à un commentaire posté sur un blog pour que le flux RSS ou Atom associé à ces commentaires devienne vecteur potentiel d'une attaque informatique. Le problème résiderait dans la conception des lecteurs de flux RSS. Les logiciels comme RSS Reader, RSS Owl, Feed Demon, ou les agrégateurs en ligne, comme le célèbre Bloglines, sont tous déclarés vulnérables.
Les créateurs des différents agrégateurs de flux n'auraient pas, selon Robert Auger, suffisamment intégré les questions relatives à la sécurité lors de leurs développements. Il serait donc aisé, pour une personne malintentionnée, de lancer un site dont les flux RSS seraient volontairement vérolés pour récupérer des informations sensibles appartenant à ses lecteurs. Les pirates pourraient également infecter les flux RSS d'un blog reconnu comme étant sûr, en profitant par exemple des commentaires. La vulnérabiilité est inhérente à la technologie RSS, tous les sites sont donc potentiellement concernés.