supinfo
Orientez-vous vers les métiers du numérique, des métiers qui recrutent dans tous les secteurs d’activités  metiers-du-numerique.fr
Connexion :
Abonnement NewsletterOk
 

Mots de passe : problème avec IE et Firefox ?

Brève Sécurité

Les deux navigateurs les plus représentés en termes de parts de marché souffriraient d'une faiblesse au niveau de leur gestionnaire de mots de passe, qui pourrait mettre en péril la confidentialité des informations stockées par l'utilisateur. Découverte par Robert Chapin, cette faille permet la transmission en clair d'un mot de passe sauvegardé par le navigateur à un site Internet distant. Elle fonctionne sur le mode du « reverse cross-site request », qui consiste à demander à l'utilisateur d'entrer ses informations sur un site digne de confiance puis de les rediriger vers un autre site, moins digne de confiance, par l'intermédiaire du gestionnaire de mots de passe du navigateur.

La plateforme MySpace aurait déjà fait les frais d'une attaque de ce type. En réalité, un utilisateur malintentionné pourrait tout à fait l'exploiter à partir de tous les sites où il est possible d'envoyer ses propres pans de code HTML, comme les blogs par exemple. Afin d'illustrer sa découverte, Robert Chapin propose un « proof of concept » de cette faille sur son site (ne fonctionne qu'avec Firefox) : il invite tout d'abord l'internaute à renseigner un champ login/mot de passe, puis le renvoie vers une page de contenus comme celle qu'un blog. Là, l'internaute est invité à cliquer sur la vidéo qui le renvoie vers un célèbre moteur de recherche. Ô surprise, le login et le mot de passe apparaissent alors en clair dans la barre d'adresse du navigateur et sont expédiés vers le site en question.



Initialement découverte dans Firefox, cette faille importante fait déjà l'objet d'un rapport d'erreur auprès de Mozilla. En attendant qu'elle soit corrigée, la fondation conseille de désactiver le gestionnaire de mots de passe ou d'installer l'extension Master Password Timeout, qui limite l'usage des mots de passe après un certain laps de temps pour éviter une éventuelle utilisation non sollicitée. Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.
Actu précédente
Brève suivante

Top logiciels Désinstallation de logiciels

1 Norton Removal Tool
Désinstallez proprement les produits Norton !
2 Your Uninstaller!
Désinstallez totalement vos applications
3 UBCD4Win
Live CD UBCD4Win
4 Free Uninstaller
Désintallez vos logiciels à partir d'une clé USB
5 The Brute Force Uninstaller (BFU)
Nettoyer les infections du sytème
6 Auslogics BoostSpeed
Accélérez votre ordinateur !
Suite du classement "Désinstallation de logiciels"
Les Commentaires des lecteurs
_
le 24 Nov. 06 à 16h16
Edition
 
sous Firefox 2, je voit pas mon login/mdp avec le proof of concept, et je ne comprend pas très bien.
Comme on vient de les rentrer, c'est normal que le site y ait accès...

ou est la faille ?

[edit : zooops, le gestionnaire de mdp était déjà désactivé chez moi]
 
le 24 Nov. 06 à 16h17
Edition
 
avec ff2 non plus je ne l'ai pas :??:
 
le 24 Nov. 06 à 16h18
Edition
 
Ben fais ce qu'il dit, tu comprendras. Quant tu es renvoyé vers Google, tes paramètres passent dans l'url en clair. Google s'"en fout, mais si c'était un site monté pour l'occasion, il récupère tes identifiants sans problème.

 
le 24 Nov. 06 à 16h25
Edition
 
Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.

:whistle:
 
le 24 Nov. 06 à 16h26
Edition
 
Zebulon_Vigitatus a écrit:
Pourquoi Clubic a toujours 2 jours de retard sur generation nt...


parceque génération nt a du retard à rattraper sur clubic ^^
 
le 24 Nov. 06 à 16h27
Edition
 
Test realisé sous Vista officiel UK
Avec firefox 2 et ie7

Aucun resultat
 
le 24 Nov. 06 à 16h28
Edition
 
ok, j'ai compris : Firefox remplis tout seul les champs password sans vérifier si ils sont visibles ou pas, ou si ils appartiennet à un formulaire de redirection (avec l'attribut hidden).

C'est vrai que ca fait mal
 
le 24 Nov. 06 à 16h30
Edition
 
Voir très mal...
 
le 24 Nov. 06 à 16h30
Edition
 
Je viens de tester avec FF2, sous XP SP2, ça marche parfaitement :neutre: :sweet:

Bon, heu... Fait chier un peu !
 
le 24 Nov. 06 à 16h35
Edition
 
Alex a écrit:
Quant tu es renvoyé vers Google, tes paramètres passent dans l'url en clair. Google s'"en fout,


Je crois que google doit bien enregistré tout ce qui passe sur ses urls ;)

Bon par contre pour aller l'exploiter c'est autre chose ^^
 
le 24 Nov. 06 à 16h36
Edition
 
opéra n'es pas toucher par cette faille?
 
le 24 Nov. 06 à 16h39
Edition
 
meluche a écrit:
opéra n'es pas toucher par cette faille?


Non, ni Safari.

Ca a été testé sur PCInpact il y a quelque temps...
 
le 24 Nov. 06 à 16h41
Edition
 
Y'a quelqu'un qui utilise ses gestionnaires de password en 2007 (bientot) ?
Rien que dans le concept, c'est une abération, c'est pour ça que le Dieu du web a inventé les cookies.

Enfin, c'est grave comme faille, surtout les ménagères de moins de 50 ans vont se demander pourquoi y'a leur année de naissance dans l'URL :ane:
 
le 24 Nov. 06 à 16h44
Edition
 
FAILLE FIREFOX : la solution

J'ai testé la faille, et en fait, c'est assez subtile le résultat au final !

J'ai d'abord cru, comme tout le monde ici : ça ne marche pas chez moi ! (ouf !)
En fait, ça n'a pas marché car je n'avais pas demandé à Firefox d'enregistrer le mot de passe à la saisie (dans le fameux gestionnaire de mot de passe incriminé).
Donc, j'ai retenté avec un autre login, en sauvegardant le mot de passe, et là : ça marche, le mot de passe apparait bien en clair dans l'URL de Google.

Mais mon invéstigation ne s'est pas arrêté là ;-)
J'ai alors défini un mot de passe principal qui g-re l'accès au fameux gestionnaire de mot de passe (dans Outils->Options->Vie privée->Mots de passe->Créer un mot de passe principal). Une fois ce mot de passe principal créé, la faille n'a plus fonctionné, même en enregistrant le mot de passe !!
L'inconvénient : Firefox demande le mot de passe principal à chaque fois qu'un formulaire se présente (sous-entendu, dont le mot de passe a déjà été sauvegardé).
C'est un peu lourd à l'usage ! Mais c'est plus sûr !!

Le plus sûr me direz vous, c'est de n'enregistrer aucun mot de passe et de tous les apprendre par coeur :)
Méfience tout de même, cette dernière technique ne serait pas à l'abris d'un nouveau type de virus de plus en plus répendu, connu sous le nom d'Alzheimer... :sarcastic:
 
le 24 Nov. 06 à 16h45
Edition
 
c'est le genre de fonctionnalité dont je me suis toujours refusé à utiliser.
d'une part, ca permet de ne pas oublier les mot de passes (car on est obligé de les taper souvent)
d'autre part, si qq'un utilise ma machine à mon insu, pas de problème.

mais avec la révélation de ce problème, je m'en félicite beaucoup plus :paf:
 
le 24 Nov. 06 à 16h46
Edition
 
Ne marche pas.
Meme en choisissant oui à "voulez vous que firefox se souvienne de ce mot de passe?".
Puis j'y suis retourné pour voir, vu que cette fois, le mdp est enregistré pour le site et que donc les champs sont automatiquement remplies. Toujours pareil marche pas.
Peut etre parce que mon windows est bidouillé pour accroitre la sécurité.
 
le 24 Nov. 06 à 16h55
Edition
 
WinterOfTheWolf a écrit:
Y'a quelqu'un qui utilise ses gestionnaires de password en 2007 (bientot) ?
Rien que dans le concept, c'est une abération, c'est pour ça que le Dieu du web a inventé les cookies.

Enfin, c'est grave comme faille, surtout les ménagères de moins de 50 ans vont se demander pourquoi y'a leur année de naissance dans l'URL :ane:


Beaucoup de sites ne permettent pas de se connecter automatiquement sans entrer le login/pass... Myspace, Yahoo mail, Hotmail et j'en passe...
 
le 24 Nov. 06 à 16h58
Edition
 
treizep a écrit:
Non, ni Safari.

Ca a été testé sur PCInpact il y a quelque temps...


Coul je regrette pas d'etre passer sur opera alors :)
 
le 24 Nov. 06 à 17h02
Edition
 
Vive opéra
 
le 24 Nov. 06 à 17h03
Edition
 
Gerfaut83 a écrit:
FAILLE FIREFOX : la solution

J'ai testé la faille, et en fait, c'est assez subtile le résultat au final !

J'ai d'abord cru, comme tout le monde ici : ça ne marche pas chez moi ! (ouf !)
En fait, ça n'a pas marché car je n'avais pas demandé à Firefox d'enregistrer le mot de passe à la saisie (dans le fameux gestionnaire de mot de passe incriminé).
Donc, j'ai retenté avec un autre login, en sauvegardant le mot de passe, et là : ça marche, le mot de passe apparait bien en clair dans l'URL de Google.

Mais mon invéstigation ne s'est pas arrêté là ;-)
J'ai alors défini un mot de passe principal qui g-re l'accès au fameux gestionnaire de mot de passe (dans Outils->Options->Vie privée->Mots de passe->Créer un mot de passe principal). Une fois ce mot de passe principal créé, la faille n'a plus fonctionné, même en enregistrant le mot de passe !!
L'inconvénient : Firefox demande le mot de passe principal à chaque fois qu'un formulaire se présente (sous-entendu, dont le mot de passe a déjà été sauvegardé).
C'est un peu lourd à l'usage ! Mais c'est plus sûr !!

[troll]
Tiens c'est comme Linux alors ...
[/troll]

Non mais sérieux si il faut en arrive là, autant virer FF ...
 
le 24 Nov. 06 à 17h03
Edition
 
bheller a écrit:
Beaucoup de sites ne permettent pas de se connecter automatiquement sans entrer le login/pass... Myspace, Yahoo mail, Hotmail et j'en passe...

Ah bon ?
Tous ces sites ont la fonction "mémoriser pseudo et mot de passe", ils passent par les cookies, c'est tout.
 
Voir profilContacter le membre