Les fils RSS, vecteurs potentiels de codes malicieux

Le par  |  9 commentaire(s)
Opera RSS

Les fils RSS, pour pratiques et simples d'emploi qu'ils soient, n'échappent toutefois pas aux règles de sécurité qui balisent de plus en plus la vie des internautes.

Les fils RSS, pour pratiques et simples d'emploi qu'ils soient, n'échappent toutefois pas aux règles de sécurité qui balisent de plus en plus la vie des internautes.


On file du mauvais coton
Opera rssAmateurs de fils RSS en tous genres, ouvrez grand vos yeux : à l'occasion d'une récente convention Black Hat, à Las Vegas, un spécialiste en sécurité informatique de la firme SPI Dynamics a mis les deux pieds dans le plat, et ouvertement critiqué le manque de sécurité qui entoure l'utilisation des fils RSS. Ces derniers sont des hyper-liens qui renvoient vers des sites Web ou des blogs que vous visitez souvent ; ils attachent à chaque article ou nouvelle entrée une adresse précise, et facilitent la navigation, mais ils présentent une sérieuse lacune : rien n'a été fait pour empêcher un pirate de les utiliser à des fins inavouables.


De fil en aiguille
Selon Robert Auger, qui exerce ses talents chez SPI Dynamics, l'insertion d'un code malicieux écrit en JavaScript dans le contenu d'un fil RSS tient du jeu d'enfant. Il en a d'ailleurs fait la démonstration, lors de la récente convention Black Hat de Las Vegas. Le pire n'est pas tant le faible niveau de sécurité des sites qui s'appuient sur le RSS pour distribuer leur contenu, mais bien le fait qu'avec l'injection d'un seul code malicieux dans un sujet soigneusement choisi, il est possible d'infecter un nombre considérable de PC. Ainsi, il suffirait de piéger une entrée de blog ou un article RSS sur, disons une nouvelle grossesse pour Britney Spears (clin d'oeil affectueux à l'un de nos anciens "newseurs"), et voilà des millions de fans qui se précipitent pour lire le contenu de cet article, et peuvent se retrouver infectés.

Plus grave encore : cette faille ne fait pas de distinction entre les lecteurs RSS installés à demeure sur votre PC et ceux que vous consultez depuis votre navigateur Internet. Dans ce dernier cas, et à moins de désactiver complètement le JavaScript--ce qui altère singulièrement le caractère interactif de certaines pages Web--, nul n'est vraiment à l'abri. Dans son intervention, Auger cite comme étant vulnérables des programmes tels que RSS Reader, RSS Owl, Feed Demon ou Sharp Reader, mais la liste n'est, de son propre aveu, pas exhaustive. En guise de parade, l'ami Robert conseille de désactiver toute fonction de script, d'ouverture d'applets Java, ainsi que tout plug-in éventuellement installé par les sites/programmes en question, et de présumer que la menace est bien là, non qu'elle frappera peut-être.


Fil rouge
RSS signifie "Really Simple Syndication", ce qui veut dire que tout un chacun a accès au contenu des sites qui arborent, dans la barre d'adresses de votre navigateur Web, la célèbre petite icône orange, ou son équivalent sur fond bleu. D'aucuns, outre-Atlantique, commencent pourtant déjà à rebaptiser le système "Really Shitty Security"*.

Comme quoi on peut vraiment brûler ce que l'on a autrefois adoré...


* "Sécurité Vraiment M....ique"

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #123171
je ne vois même pas en quoi les flux rss sont dangereux d'après cet article... ils peuvent nous mener vers une page dangereuse' mais pourtant les mails savent bien le faire, et même les pages webs peuvent le faire!
ensuite pour que cela arrive, il faudrait réussir à modifier le contenu du flux, possédé par une autre personne. au final ça devient aussi dûr de toucher à la page rss qu'à une page web, pourquoi dans ce cas les flux rss seraient pires'
le tout sans oublier que le javascript, dépend du naviguateur, pas du lecteur rss. et même si il peut éxister des exploits en js sur certains browsers, il est tout de même fort peu probable qu'il y ai vraiment danger!
imaginez que le dns de google se fait piraté, le serveur http donc remplacé par une copie parfaite, sauf que le résultat de n'importe quelle recherche mènerais vers des sites contenant des code malicieux, quelle serait la différence'<img src="/img/emo/confused.gif" alt=":'" />
Le #123174
Il peut y avoir des failles failles possible directement dans le parseur RSS dans l'interprétation du fil.
Le #123185
Encore lui '
Le #123190
Pour une fois qu'il apporte de l'eau à mon moulin, laissez Luchy tranquillle !

En plus, il a raison, le problème n'est pas tant au niveau du navigateur lui-même, que dans l'auxiliaire, quel qu'il soit, qui lui sert à lire les flux RSS.
Le #123203
J'adore cette news... Entre les titres bien trouvés par rapport au sujet et la petite dédicace à Akerone (tu nous manqueeeeeeeeees !!!), toute mes félicitations à Ange

RSS rebaptisé en "Really Shitty Security", ça me fait penser à NFS (Network File System) souvent surnommé "No File Security"
Le #123206
Tout le monde parle de RSS, mais personne ne parle d'Atom... Pourtant, il me semble qu'il est tout aussi sensible à ce genre d'attaque. Tenez, j'ai même imaginé son nouveau nom : Another Threat to Ordinary Men (une autre menace pour les hommes ordinaires). Désolé mesdames...

Toutefois, je me demande encore comment un flux RSS (ou Atom) peut être plus dangereux qu'une page Web ou un e-mail piégé... Il faut que le flux provienne d'un site Web lui-même "dangereux", ou bien que le serveur de notre flux préféré soit piraté. C'est à nous d'utiliser notre jugement aussi...
Le #123210
FraGag, imaginons le scénario suivant : tu fréquentes régulièrement un blog, sur lequel il t'arrive de poster des commentaires, lesquels, lorsqu'ils sont un peu long, laissent apparaître un lien intitulé "Voir la suite". Si la "suite" cache une page piégée, tu es de la revue...
Le #123216
Avec des si on debranche aussi internet une fois pour toute histoire d'etre tranquille.
Le #123240
AngeGabriel >Imagine que tu visites souvent un site (genre ici) et qu'un jour une news piégé apparaisse, tu es de la revue. (pour reprendre tes termes )

Quand au javascript dans les rss, ca se désactive de la même maniére que le javascript dans les messages d'un forum. Aprés, si le créateur du programme s'est assi sur la sécurité de son programme, c'est pas la faute du css.

En bref, il ne faut pas confondre sécurité d'une méthode et sécurité d'une (ou plusieurs) implémentations.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]