Une (fausse) faille JavaScript en appelle-t-elle d'autres '

Le par  |  4 commentaire(s)
Google Is Your Friend Chinese (Small)

Des chercheurs en matière de sécurité informatique--des vrais, cette fois.

Des chercheurs en matière de sécurité informatique--des vrais, cette fois...--ont mis à jour une vulnérabilité dans la manière dont nos navigateurs Internet gèrent leur cache et leur historique de recherche.


Votre vie mise à nu
Imaginons, comme l'on fait nos confrères de VNUnet, que vous vous rendiez sur le site Web d'une compagnie d'assurance pour souscrire un contrat quelconque, et que quelques jours plus tard, cette même compagnie vous adresse une fin de non-recevoir peu ou pas motivée. Vous serez déçu, mais que dire lorsque vous apprendrez que ce refus vient peut-être du fait que l'assureur en question a appris par des moyens détournés que vous fumez...' Cela vous semble impossible sans que quelqu'un dans votre entourage fasse acte de délation ' Si vous saviez...

Une équipe de chercheurs en sécurité informatique de Spi Dynamics s'est en effet rendu compte qu'il était possible pour un site Web que vous visitez d'aller piocher dans l'historique de navigation et de recherche de votre butineur Internet pour savoir quels sites vous avez visité auparavant ; il est alors possible pour l'assureur évoqué plus haut de savoir que vous avez fait une recherche pour acheter des cigarettes sur Internet (rappelons au passage que c'est interdit dans notre pays...), et refuser de vous assurer.


Qui, quand, comment '
Google is your friend chinese smallIl faut à ce stade se souvenir que si Mozilla Firefox, dans ses plus récentes déclinaisons, limite la durée de garde des contenus visités à moins de vingt-quatre heures (ce délai était autrefois de 9 jours), dans le chef d'Internet Explorer, toutes versions confondues, ces informations sont par défaut conservées pendant 20 jours (c'est modifiable), tandis que sous Opera, il n'y a pas de limite dans le temps, juste une taille de cache non-extensible, que l'on peut d'ailleurs contraindre à une valeur zéro si on le souhaite. Idem pour le nombre d'URL visités. Dans tous les cas, cependant, lors d'une même session, les contenus des pages visitées précédemment sont accessibles si l'on sait comment s'y prendre, et c'est cela qui est inquiétant.

On se souvient que l'été dernier, le fournisseur d'accès à Internet AOL a commis une belle boulette en laissant filer dans la nature quelque 20 millions de recherches effectuées par 650.000 de ses abonnés. En théorie, ces recherches étaient non-nominatives, mais le New York Times est tout de même parvenu à rattacher au moins quelques unes d'entre elles à une femme de 62 ans vivant en Géorgie, aux Etats-Unis. Et ce sans faire beaucoup d'effort. Il faut dire que lors de l'envoi d'une recherche sur Internet au moyen d'un des moteurs que nous avons pris l'habitude d'apprécier, l'adresse qui s'affiche alors dans la barre prévue à cet effet contient les mots-clés utilisés par l'internaute. Cet URL est ensuite stocké dans l'historique de navigation de votre butineur, au cas où vous auriez besoin d'y retourner. Cela rend la recherche plus rapide, puisque la ou les pages visitées restent dans le cache de l'application. Entre alors en scène un petit code furtif, écrit en JavaScript, et qui peut être inclus dans n'importe quelle page Web à peu de frais. Grâce à lui, un webmestre un peu fûté--ou curieux--peut rappeler dans l'historique les informations susceptibles de l'intéresser, le tout sans perte notable de performance au niveau de la vitesse de navigation. L'internaute n'y voit que du feu, pendant que son cache est méthodiquement fouillé.

Selon Bill Hoffman, qui a présidé à la conduite de ces recherches pour le compte de Spi Dynamics, personne n'a encore réussi à mettre en évidence l'existence de telle méthodes de piratage, ce qui ne signifie en aucun cas qu'elle n'existent pas. Il s'agit donc pour l'heure d'une simple "preuve de concept" de ce qu'il est convenu d'appeler une particularité de fonctionnement de nos navigateurs Web. Rien n'indique d'ailleurs que ces visites furtives dans nos caches Internet soient d'une quelconque manière illégales. Après tout, il est assez courant pour certains sites Web de vérifier la présence de tel ou tel plug-in sur le navigateur que nous utilisons, et d'en recommander l'installation en cas d'absence.

Pour celles et ceux que cela intéresse, le site de Spi Dynamics apporte quelques précisions techniques rattachées à des recherches effectuées sur Google, Yahoo et Icerocket (ce dernier est inconnu chez nous, mais très apprécié des adolescents, outre-Atlantique).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #134947
Je ne crois pas à la plaisanterie !
Ils ont du toucher un joli cheque pour fermer leurs gueules....

C'est aussi ca la desinformation en informatique...
Le #134954
Vraiment ' C'est vrai que quand on est habitué à un navigateur assez encastré dans un OS...

Et quant à ta remarque, sans preuve, cela restera une affabulation ou une hypothèse.
Le #135079
Il y a quelques années, on arrivait à des résultats similaires en épluchant les cookies d'un utilisateur.
Une fois de plus, ces hypothèses qu'elles soient ou non fondées démontrent que la sécurité sur le net est avant tout un problème de comportement de l'utilisateur.
Le #135307
Houah, leur page de test, qu'est ce qu'elle marche bien. je l'ai essayé avec IE7 et fiorefox1.5 et il n'a retrouvé aucune des recherches que j'ai fait aujourd'hui avec google. Pourtant dans les deux cas, j'ai encore la recherche dans l'historique de mes navigateurs.

Finalement, c'est théoriquement une possibilité, mais comme dit dans la news "personne n'a encore réussi à mettre en évidence l'existence de telle méthodes de piratage" et visiblement, leur page non plus.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]