Mots de passe : problème avec IE et Firefox ?

Alex
24 novembre 2006 à 16h05
0
Les deux navigateurs les plus représentés en termes de parts de marché souffriraient d'une faiblesse au niveau de leur gestionnaire de mots de passe, qui pourrait mettre en péril la confidentialité des informations stockées par l'utilisateur. Découverte par Robert Chapin, cette faille permet la transmission en clair d'un mot de passe sauvegardé par le navigateur à un site Internet distant. Elle fonctionne sur le mode du « reverse cross-site request », qui consiste à demander à l'utilisateur d'entrer ses informations sur un site digne de confiance puis de les rediriger vers un autre site, moins digne de confiance, par l'intermédiaire du gestionnaire de mots de passe du navigateur.

La plateforme MySpace aurait déjà fait les frais d'une attaque de ce type. En réalité, un utilisateur malintentionné pourrait tout à fait l'exploiter à partir de tous les sites où il est possible d'envoyer ses propres pans de code HTML, comme les blogs par exemple. Afin d'illustrer sa découverte, Robert Chapin propose un « proof of concept » de cette faille sur son site (ne fonctionne qu'avec Firefox) : il invite tout d'abord l'internaute à renseigner un champ login/mot de passe, puis le renvoie vers une page de contenus comme celle qu'un blog. Là, l'internaute est invité à cliquer sur la vidéo qui le renvoie vers un célèbre moteur de recherche. Ô surprise, le login et le mot de passe apparaissent alors en clair dans la barre d'adresse du navigateur et sont expédiés vers le site en question.

012C000000406324-photo-gestionnaire-mots-de-passe-firefox.jpg
Gestionnaire de mots de passe Firefox 2.0


Initialement découverte dans Firefox, cette faille importante fait déjà l'objet d'un rapport d'erreur auprès de Mozilla. En attendant qu'elle soit corrigée, la fondation conseille de désactiver le gestionnaire de mots de passe ou d'installer l'extension Master Password Timeout, qui limite l'usage des mots de passe après un certain laps de temps pour éviter une éventuelle utilisation non sollicitée. Cette faille pourrait également être exploitée dans Internet Explorer, mais plus difficilement.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
0
0

Actualités récentes

Fin mars, Google Messages cessera de fonctionner sur les smartphones Android non certifiés
Vous pouvez faire des conversions depuis Google
Cyberpunk 2077 : Gabe Newell, cofondateur et directeur de Valve, prend la défense du jeu
Soldes Amazon et Cdiscount : le TOP des promos high-tech ce jeudi
Droit voisin : Google signe un accord pour rémunérer les éditeurs de presse français
EPOS annonce ses GTW 270 Hybrid : des écouteurs true wireless à destination des joueurs ?
Soldes Amazon : chute de prix sur le PC portable Asus Vivobook Flip 14'' FHD
Arduino va sortir une carte basée sur le nouveau SoC RP2040 de Raspberry Pi
Qu'a fait le rover Curiosity durant les 3 000 sols qu'il a passés sur Mars ?
Soldes : le célèbre casque Marshall Major 3 BT profite d'une très belle promotion
Haut de page