Firefox et Internet Explorer 7 faille sur les mots de passe - 27 novembre 2006 - 09:14 (Par Etienne Jean de la Perle)
Firefox et Internet Explorer 7 faille sur les mots de passe
Les deux navigateurs web Internet Explorer 7 de Microsoft et Firefox 2 de la fondation Mozilla, sont tous les deux concernés par une faille découverte par Chapin Information Services. Les deux navigateurs les plus présents en termes de parts de marché auraient une faiblesse au niveau de leur gestionnaire de mots de passe, ce qui pourrait mettre en danger la confidentialité des informations stockées par l'utilisateur.
Cette faille est jugée critique par les développeurs de Mozilla mais peu critique selon Secunia. Elle permet à un utilisateur malintentionné, via une page HTML de récupérer les informations d'identification d'un autre utilisateur. Dès la fin du mois d'octobre, cette faille a été utilisée lors d'une attaque de phishing sur le site MySpace, information rapportée par Netcraft. Un utilisateur s'y était inscrit sous le nom « login_home_index_html ». Une fois enregistré, il a réussi à créer une page HTML conçue pour exploiter cette faille sur Firefox et Internet Explorer 7, avec la différence que les informations saisies par les autres utilisateurs n'étaient pas transmises à MySpace mais à un serveur distant qui les stockait, serveur hébergé en France. Netcraft avait immédiatement informé MySpace sur ce pishing.
Cette faille s'explique par le fait que ni Firefox 2 ni Internet Explorer 7 ne vérifient assez la transmission des mots de passe. Aucun des deux navigateurs web ne vérifie si les informations demandées sont transmises au serveur qui « a l'air » de les demander. Les navigateurs ne vérifient pas non plus de manière assez approfondie si ces informations d'identification sont réellement envoyées. Dans le cas de l'attaque sur MySpace, Firefox (sur lequel l'erreur a été découverte en premier) ne vérifie pas si le formulaire vient effectivement de MySpace. Le navigateur ne vérifie pas non plus si les informations sont ensuite réellement transmises au serveur de MySpace.
Robert Chapin, qui détaille l'attaque sur son site web, explique qu'Internet Explorer 7 est moins susceptible d'être victime de ce qu'il appelle une attaque par Reverse Cross-Site Request (RCSR). Il publie d'ailleurs une exploitation de cette faille : l'utilisateur commence par entrer un identifiant de connexion et un mot de passe, puis est invité à cliquer sur une vidéo. L'utilisateur est alors redirigé vers Google, et on peut voir alors clairement dans la barre d'adresses que l'identifiant et le mot de passe y sont inscrits en clair. (Source : PC Inpact) Retrouvez toutes les actualités de l'Internet, de l'informatique, des sciences du jour
|
|
Lire aussi les actualités suivantes sur ce sujet :
Pensez aussi à vous référencer sur le réseau d'annuaires ENVEA |
Mentions légales | Nous contacter | Qui sommes-nous ? |
Flux RSS
Chiffres-clé | Recommander ce site | Partenaires | Liens divers Internet
Publicité
Forum : Vos réactions Vous souhaitez réagir à un article, ouvrir le débat sur un thème qui vous est cher...
> Participez au forum du référencement
Nos flux RSS Vous souhaitez intégrer nos flux
sur votre site Internet pour apporter des actualités à vos visiteurs, alors n'hésitez plus...Tous nos flux RSS > ici !
