Firefox et Internet Explorer 7 faille sur les mots de passe - 27 novembre 2006 - 09:14 (Par Etienne Jean de la Perle)


Firefox et Internet Explorer 7 faille sur les mots de passe

Les deux navigateurs web Internet Explorer 7 de Microsoft et Firefox 2 de la fondation Mozilla, sont tous les deux concernés par une faille découverte par Chapin Information Services. Les deux navigateurs les plus présents en termes de parts de marché auraient une faiblesse au niveau de leur gestionnaire de mots de passe, ce qui pourrait mettre en danger la confidentialité des informations stockées par l'utilisateur.

Cette faille est jugée critique par les développeurs de Mozilla mais peu critique selon Secunia. Elle permet à un utilisateur malintentionné, via une page HTML de récupérer les informations d'identification d'un autre utilisateur. Dès la fin du mois d'octobre, cette faille a été utilisée lors d'une attaque de phishing sur le site MySpace, information rapportée par Netcraft. Un utilisateur s'y était inscrit sous le nom « login_home_index_html ». Une fois enregistré, il a réussi à créer une page HTML conçue pour exploiter cette faille sur Firefox et Internet Explorer 7, avec la différence que les informations saisies par les autres utilisateurs n'étaient pas transmises à MySpace mais à un serveur distant qui les stockait, serveur hébergé en France. Netcraft avait immédiatement informé MySpace sur ce pishing.

Cette faille s'explique par le fait que ni Firefox 2 ni Internet Explorer 7 ne vérifient assez la transmission des mots de passe. Aucun des deux navigateurs web ne vérifie si les informations demandées sont transmises au serveur qui « a l'air » de les demander. Les navigateurs ne vérifient pas non plus de manière assez approfondie si ces informations d'identification sont réellement envoyées. Dans le cas de l'attaque sur MySpace, Firefox (sur lequel l'erreur a été découverte en premier) ne vérifie pas si le formulaire vient effectivement de MySpace. Le navigateur ne vérifie pas non plus si les informations sont ensuite réellement transmises au serveur de MySpace.

Robert Chapin, qui détaille l'attaque sur son site web, explique qu'Internet Explorer 7 est moins susceptible d'être victime de ce qu'il appelle une attaque par Reverse Cross-Site Request (RCSR). Il publie d'ailleurs une exploitation de cette faille : l'utilisateur commence par entrer un identifiant de connexion et un mot de passe, puis est invité à cliquer sur une vidéo. L'utilisateur est alors redirigé vers Google, et on peut voir alors clairement dans la barre d'adresses que l'identifiant et le mot de passe y sont inscrits en clair. (Source : PC Inpact)

Retrouvez toutes les actualités de l'Internet, de l'informatique, des sciences du jour

Lire aussi les actualités suivantes sur ce sujet :

  • Pas d'article sur ce sujet

Pensez aussi à vous référencer sur le réseau d'annuaires ENVEA

 


Mentions légales | Nous contacter | Qui sommes-nous ? |  Flux RSS
Chiffres-clé | Environnement Webmasters | Recommander ce site
Nos Partenaires | Liens divers sur Internet | Jeux vidéos


  Communiqués de presse Vous souhaitez nous communiquer vos actualités, nouveaux produits, manifestations,..., en matière d’informatique, de matériels high-tech, d'avancées scientifiques, …, envoyez-nous vos communiqués de presse.

Publicité


Nos flux RSS Vous souhaitez intégrer nos flux sur votre site Internet pour apporter des actualités à vos visiteurs, alors n'hésitez plus...

Tous nos flux RSS ici !


Découvrez les principaux sites du Portail-environnement











Et bien plus encore...Portail-Environnement




© RecyConsult / 2010 - Enregistré à la CNIL n°893989
  recyconsult.png, 2 kB Tous droits de reproduction et de représentation réservés. Toutes les informations reproduites sur cette page (contenus, photos, logos,...) sont soumises à des droits de propriété intellectuelle détenus par RECYCONSULT. Aucune de ces informations ne peut être reproduite, modifiée, transmise, rediffusée, traduite, vendue, exploitée commercialement ou réutilisée sans l'accord de RECYCONSULT. A visiter : un appartement au coeur de la nature avec Location vacances à Sète pour des vacances et de l'environnement. A voir aussi le site Portail des Associations, le site gratuit pour la création des sites Internet des associations françaises !
Les sites du réseau
Portail-environnement.com
Actualités
Agenda
Annuaires
Bourse
Boutique
Dictionnaire
Données
Dossiers tech.
Emploi / Stage
Enfants
Formations
Forum
Librairie
Management SME
Management SMI
Management SMSST
Réglementation
Vidéos
recherche