Mots de passe : problème avec IE et Firefox ?
Les deux navigateurs les plus représentés en termes de parts de marché souffriraient d'une faiblesse au niveau de leur gestionnaire de mots de passe, qui pourrait mettre en péril la confidentialité des informations stockées par l'utilisateur. Découverte par Robert Chapin, cette faille permet la transmission en clair d'un mot de passe sauvegardé par le navigateur à un site Internet distant. Elle fonctionne sur le mode du « reverse cross-site request », qui consiste à demander à l'utilisateur d'entrer ses informations sur un site digne de confiance puis de les rediriger vers un autre site, moins digne de confiance, par l'intermédiaire du gestionnaire de mots de passe du navigateur.
La plateforme MySpace aurait déjà fait les frais d'une attaque de ce type. En réalité, un utilisateur malintentionné pourrait tout à fait l'exploiter à partir de tous les sites où il est possible d'envoyer ses propres pans de code HTML, comme les blogs par exemple. Afin d'illustrer sa découverte, Robert Chapin propose un « proof of concept » de cette faille sur son site (ne fonctionne qu'avec Firefox) : il invite tout d'abord l'internaute à renseigner un champ login/mot de passe, puis le renvoie vers une page de contenus comme celle qu'un blog. Là, l'internaute est invité à cliquer sur la vidéo qui le renvoie vers un célèbre moteur de recherche. Ô surprise, le login et le mot de passe apparaissent alors en clair dans la barre d'adresse du navigateur et sont expédiés vers le site en question.
Gestionnaire de mots de passe Firefox 2.0
Initialement découverte dans Firefox, cette faille importante fait déjà l'objet d'un rapport d'erreur auprès de Mozilla. En attendant qu'elle soit corrigée, la fondation conseille de désactiver le gestionnaire de mots de passe ou d'installer l'extension Master Password Timeout, qui limite l'usage des mots de passe après un certain laps de temps pour éviter une éventuelle utilisation non sollicitée. Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.
La plateforme MySpace aurait déjà fait les frais d'une attaque de ce type. En réalité, un utilisateur malintentionné pourrait tout à fait l'exploiter à partir de tous les sites où il est possible d'envoyer ses propres pans de code HTML, comme les blogs par exemple. Afin d'illustrer sa découverte, Robert Chapin propose un « proof of concept » de cette faille sur son site (ne fonctionne qu'avec Firefox) : il invite tout d'abord l'internaute à renseigner un champ login/mot de passe, puis le renvoie vers une page de contenus comme celle qu'un blog. Là, l'internaute est invité à cliquer sur la vidéo qui le renvoie vers un célèbre moteur de recherche. Ô surprise, le login et le mot de passe apparaissent alors en clair dans la barre d'adresse du navigateur et sont expédiés vers le site en question.
Gestionnaire de mots de passe Firefox 2.0
Initialement découverte dans Firefox, cette faille importante fait déjà l'objet d'un rapport d'erreur auprès de Mozilla. En attendant qu'elle soit corrigée, la fondation conseille de désactiver le gestionnaire de mots de passe ou d'installer l'extension Master Password Timeout, qui limite l'usage des mots de passe après un certain laps de temps pour éviter une éventuelle utilisation non sollicitée. Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.
Modifié le 01/06/2018 à 15h36
