Vent de panique pour les applications ASP.NET ? Deux chercheurs en sécurité informatique ont démontré qu'une attaque est à même de réduire à néant la sécurité de ASP.NET afin de permettre à des données chiffrées d'être déchiffrées sans une clé. Une vulnérabilité confirmée par Microsoft.

Selon la firme de Redmond, ASP.NET utilise un chiffrement pour cacher et protéger des données sensibles d'une manipulation par le client. Une " vulnérabilité dans l'implémentation du chiffrement ASP.NET peut permettre à un attaquant de déchiffrer et manipuler ces données ". Elle affecte toutes les versions de .NET Framework.

Microsoft explique par exemple que si l'application ASP.NET prise pour cible stocke des informations sensibles, comme des mots de passe ou des informations de connexion à une base de données, dans l'objet ViewState, ces données peuvent être compromises. " L'objet ViewStat est chiffré et envoyé au client sous la forme d'une variable cachée, c'est donc une cible possible pour l'attaque ".

Pour le moment, Microsoft n'a pas eu connaissance d'attaques mais encourage les utilisateurs à mettre en place des mesures de contournement. Pour les administrateurs, un script est proposé afin de déterminer si une application ASP.NET est vulnérable. Le cas échéant, ils doivent utiliser la fonctionnalité customErrors de ASP.NET afin que les applications retournent une même page d'erreur quelle que soit l'erreur rencontrée sur le serveur.