Attaque distante sans compromission

Actualités - Hack - Posté on 02 Mar 2009 at 8:25 par Solange Belkhayat-Fuchs

daveblog« Chaque lien que vous cliquez est dangereux » titre PdP sur GnuCitizen. L’auteur précise qu’un vieux bug déjà signalé en décembre dernier et documenté sur Bugzilla est encore exploitable. Ce bug de navigateur, ou plus exactement cette erreur de conception, sert de base à une attaque en « clic jacking », en « détournement de navigation Web » en quelques sortes. Petko d.Petkov explique pas à pas comment un internaute se connecte à Digg.com, puis se voit demander une confirmation de crédence, portant le même ramage et le même plumage qu’une véritable page Digg. Une fois les crédences volées, l’usager est renvoyé vers le véritable site.

C’était d’ailleurs plus ou moins ce que décrivait Moxie Marlinspike lors de la dernière BH. Aucune intrusion n’est perpétrée contre le poste de la victime, pas le moindre code n’est exécuté « localement », les signes montrant la « légitimité » d’un lien sécurisé peuvent même être singés pour endormir la confiance de l’utilisateur… et mis à part l’affichage d’une fenêtre pop-up ou d’un onglet supplémentaire, il est difficile aux yeux d’un non initié de soupçonner qu’il se déroule à ce moment précis une chose dangereuse. Après coup, même le plus expert des gourous spécialistes de la recherche de preuves ne trouvera pas la plus petite failles par laquelle aurait pu disparaître le « login-mot de passe » ayant entraîné la ruine de la victime. C’est là, une fois de plus, la preuve que la notion de criticité d’un défaut logiciel n’est pas synonyme exclusif « d’exploit exécuté à distance ».

Laisser une réponse