Les fils RSS, vecteurs potentiels de codes malicieux
Le par Ange-Gabriel C.
Les fils RSS, pour pratiques et simples d'emploi qu'ils soient, n'échappent toutefois pas aux règles de sécurité qui balisent de plus en plus la vie des internautes.
On file du mauvais coton
Amateurs de fils RSS en tous genres, ouvrez grand vos yeux : à l'occasion d'une récente convention Black Hat, à Las Vegas, un spécialiste en sécurité informatique de la firme SPI Dynamics a mis les deux pieds dans le plat, et ouvertement critiqué le manque de sécurité qui entoure l'utilisation des fils RSS. Ces derniers sont des hyper-liens qui renvoient vers des sites Web ou des blogs que vous visitez souvent ; ils attachent à chaque article ou nouvelle entrée une adresse précise, et facilitent la navigation, mais ils présentent une sérieuse lacune : rien n'a été fait pour empêcher un pirate de les utiliser à des fins inavouables.De fil en aiguille
Selon Robert Auger, qui exerce ses talents chez SPI Dynamics, l'insertion d'un code malicieux écrit en JavaScript dans le contenu d'un fil RSS tient du jeu d'enfant. Il en a d'ailleurs fait la démonstration, lors de la récente convention Black Hat de Las Vegas. Le pire n'est pas tant le faible niveau de sécurité des sites qui s'appuient sur le RSS pour distribuer leur contenu, mais bien le fait qu'avec l'injection d'un seul code malicieux dans un sujet soigneusement choisi, il est possible d'infecter un nombre considérable de PC. Ainsi, il suffirait de piéger une entrée de blog ou un article RSS sur, disons une nouvelle grossesse pour Britney Spears (clin d'oeil affectueux à l'un de nos anciens "newseurs"), et voilà des millions de fans qui se précipitent pour lire le contenu de cet article, et peuvent se retrouver infectés.
Plus grave encore : cette faille ne fait pas de distinction entre les lecteurs RSS installés à demeure sur votre PC et ceux que vous consultez depuis votre navigateur Internet. Dans ce dernier cas, et à moins de désactiver complètement le JavaScript--ce qui altère singulièrement le caractère interactif de certaines pages Web--, nul n'est vraiment à l'abri. Dans son intervention, Auger cite comme étant vulnérables des programmes tels que RSS Reader, RSS Owl, Feed Demon ou Sharp Reader, mais la liste n'est, de son propre aveu, pas exhaustive. En guise de parade, l'ami Robert conseille de désactiver toute fonction de script, d'ouverture d'applets Java, ainsi que tout plug-in éventuellement installé par les sites/programmes en question, et de présumer que la menace est bien là, non qu'elle frappera peut-être.
Fil rouge
RSS signifie "Really Simple Syndication", ce qui veut dire que tout un chacun a accès au contenu des sites qui arborent, dans la barre d'adresses de votre navigateur Web, la célèbre petite icône orange, ou son équivalent sur fond bleu. D'aucuns, outre-Atlantique, commencent pourtant déjà à rebaptiser le système "Really Shitty Security"*.
Comme quoi on peut vraiment brûler ce que l'on a autrefois adoré...
* "Sécurité Vraiment M....ique"
Poser une question
ensuite pour que cela arrive, il faudrait réussir à modifier le contenu du flux, possédé par une autre personne. au final ça devient aussi dûr de toucher à la page rss qu'à une page web, pourquoi dans ce cas les flux rss seraient pires'
le tout sans oublier que le javascript, dépend du naviguateur, pas du lecteur rss. et même si il peut éxister des exploits en js sur certains browsers, il est tout de même fort peu probable qu'il y ai vraiment danger!
imaginez que le dns de google se fait piraté, le serveur http donc remplacé par une copie parfaite, sauf que le résultat de n'importe quelle recherche mènerais vers des sites contenant des code malicieux, quelle serait la différence'<img src="/img/emo/confused.gif" alt=":'" />
En plus, il a raison, le problème n'est pas tant au niveau du navigateur lui-même, que dans l'auxiliaire, quel qu'il soit, qui lui sert à lire les flux RSS.
RSS rebaptisé en "Really Shitty Security", ça me fait penser à NFS (Network File System) souvent surnommé "No File Security"