Mots de passe : problème avec IE et Firefox ?

Les deux navigateurs les plus représentés en termes de parts de marché souffriraient d'une faiblesse au niveau de leur gestionnaire de mots de passe, qui pourrait mettre en péril la confidentialité des informations stockées par l'utilisateur. Découverte par Robert Chapin, cette faille permet la transmission en clair d'un mot de passe sauvegardé par le navigateur à un site Internet distant. Elle fonctionne sur le mode du « reverse cross-site request », qui consiste à demander à l'utilisateur d'entrer ses informations sur un site digne de confiance puis de les rediriger vers un autre site, moins digne de confiance, par l'intermédiaire du gestionnaire de mots de passe du navigateur.
La plateforme MySpace aurait déjà fait les frais d'une attaque de ce type. En réalité, un utilisateur malintentionné pourrait tout à fait l'exploiter à partir de tous les sites où il est possible d'envoyer ses propres pans de code HTML, comme les blogs par exemple. Afin d'illustrer sa découverte, Robert Chapin propose un « proof of concept » de cette faille sur son site (ne fonctionne qu'avec Firefox) : il invite tout d'abord l'internaute à renseigner un champ login/mot de passe, puis le renvoie vers une page de contenus comme celle qu'un blog. Là, l'internaute est invité à cliquer sur la vidéo qui le renvoie vers un célèbre moteur de recherche. Ô surprise, le login et le mot de passe apparaissent alors en clair dans la barre d'adresse du navigateur et sont expédiés vers le site en question.
Gestionnaire de mots de passe Firefox 2.0
Initialement découverte dans Firefox, cette faille importante fait déjà l'objet d'un rapport d'erreur auprès de Mozilla. En attendant qu'elle soit corrigée, la fondation conseille de désactiver le gestionnaire de mots de passe ou d'installer l'extension Master Password Timeout, qui limite l'usage des mots de passe après un certain laps de temps pour éviter une éventuelle utilisation non sollicitée. Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.

Lire cette brève sur le site

sous Firefox 2, je voit pas mon login/mdp avec le proof of concept, et je ne comprend pas très bien.
Comme on vient de les rentrer, c'est normal que le site y ait accès...

ou est la faille ?

[edit : zooops, le gestionnaire de mdp était déjà désactivé chez moi]

avec ff2 non plus je ne l'ai pas :??:

Ben fais ce qu'il dit, tu comprendras. Quant tu es renvoyé vers Google, tes paramètres passent dans l'url en clair. Google s'"en fout, mais si c'était un site monté pour l'occasion, il récupère tes identifiants sans problème.

Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.

:whistle:

Zebulon_Vigitatus a écrit:
Pourquoi Clubic a toujours 2 jours de retard sur generation nt...

parceque génération nt a du retard à rattraper sur clubic ^^

Test realisé sous Vista officiel UK
Avec firefox 2 et ie7

Aucun resultat

ok, j'ai compris : Firefox remplis tout seul les champs password sans vérifier si ils sont visibles ou pas, ou si ils appartiennet à un formulaire de redirection (avec l'attribut hidden).

C'est vrai que ca fait mal

Voir très mal...

Je viens de tester avec FF2, sous XP SP2, ça marche parfaitement :neutre: :sweet:

Bon, heu... Fait chier un peu !

Alex a écrit:
Quant tu es renvoyé vers Google, tes paramètres passent dans l'url en clair. Google s'"en fout,

Je crois que google doit bien enregistré tout ce qui passe sur ses urls ;)

Bon par contre pour aller l'exploiter c'est autre chose ^^

opéra n'es pas toucher par cette faille?

meluche a écrit:
opéra n'es pas toucher par cette faille?

Non, ni Safari.

Ca a été testé sur PCInpact il y a quelque temps...

Y'a quelqu'un qui utilise ses gestionnaires de password en 2007 (bientot) ?
Rien que dans le concept, c'est une abération, c'est pour ça que le Dieu du web a inventé les cookies.

Enfin, c'est grave comme faille, surtout les ménagères de moins de 50 ans vont se demander pourquoi y'a leur année de naissance dans l'URL :ane:

FAILLE FIREFOX : la solution

J'ai testé la faille, et en fait, c'est assez subtile le résultat au final !

J'ai d'abord cru, comme tout le monde ici : ça ne marche pas chez moi ! (ouf !)
En fait, ça n'a pas marché car je n'avais pas demandé à Firefox d'enregistrer le mot de passe à la saisie (dans le fameux gestionnaire de mot de passe incriminé).
Donc, j'ai retenté avec un autre login, en sauvegardant le mot de passe, et là : ça marche, le mot de passe apparait bien en clair dans l'URL de Google.

Mais mon invéstigation ne s'est pas arrêté là ;-)
J'ai alors défini un mot de passe principal qui g-re l'accès au fameux gestionnaire de mot de passe (dans Outils->Options->Vie privée->Mots de passe->Créer un mot de passe principal). Une fois ce mot de passe principal créé, la faille n'a plus fonctionné, même en enregistrant le mot de passe !!
L'inconvénient : Firefox demande le mot de passe principal à chaque fois qu'un formulaire se présente (sous-entendu, dont le mot de passe a déjà été sauvegardé).
C'est un peu lourd à l'usage ! Mais c'est plus sûr !!

Le plus sûr me direz vous, c'est de n'enregistrer aucun mot de passe et de tous les apprendre par coeur :)
Méfience tout de même, cette dernière technique ne serait pas à l'abris d'un nouveau type de virus de plus en plus répendu, connu sous le nom d'Alzheimer... :sarcastic:

c'est le genre de fonctionnalité dont je me suis toujours refusé à utiliser.
d'une part, ca permet de ne pas oublier les mot de passes (car on est obligé de les taper souvent)
d'autre part, si qq'un utilise ma machine à mon insu, pas de problème.

mais avec la révélation de ce problème, je m'en félicite beaucoup plus :paf:

Ne marche pas.
Meme en choisissant oui à "voulez vous que firefox se souvienne de ce mot de passe?".
Puis j'y suis retourné pour voir, vu que cette fois, le mdp est enregistré pour le site et que donc les champs sont automatiquement remplies. Toujours pareil marche pas.
Peut etre parce que mon windows est bidouillé pour accroitre la sécurité.

WinterOfTheWolf a écrit:
Y'a quelqu'un qui utilise ses gestionnaires de password en 2007 (bientot) ?
Rien que dans le concept, c'est une abération, c'est pour ça que le Dieu du web a inventé les cookies.

Enfin, c'est grave comme faille, surtout les ménagères de moins de 50 ans vont se demander pourquoi y'a leur année de naissance dans l'URL :ane:

Beaucoup de sites ne permettent pas de se connecter automatiquement sans entrer le login/pass... Myspace, Yahoo mail, Hotmail et j'en passe...

treizep a écrit:
Non, ni Safari.

Ca a été testé sur PCInpact il y a quelque temps...

Coul je regrette pas d'etre passer sur opera alors :)

Vive opéra