|
Usurpation
d'identité via javascript
dans les navigateurs web (21/06/05)
RESUME
:
En amenant un internaute à cliquer sur un lien
piégé pointant vers un site de confiance mais
commandant à son insu également l'exécution
d'un certain code javascript, il est possible de laisser croire
à l'internaute qu'une fenêtre pop-up ou qu'une
boîte de dialogue apparaissant au premier plan appartient
au site de confiance alors qu'elle appartient en fait à
un site tiers malveillant. Cette exploitation malicieuse des
fonctionnalités offertes par le langage javascript
n'est pas à proprement parler une faille des navigateurs
mais peut en théorie être utilisée pour
soutirer des données sensibles à l'internaute
ou pour afficher un message qui serait faussement attribué
au site de confiance. Tous les navigateurs web sont concernés,
mais le risque est faible.
LOGICIEL(S)
CONCERNE(S) :
Apple Safari
iCab
Microsoft Internet Explorer
Mozilla
Camino
Mozilla Firefox
Mozilla Suite
Opera
autres
CORRECTIF
:
Compte
tenu de la nature du problème, aucune solution complète
n'est attendue dans un avenir proche, aussi la sensibilisation
des internautes est un élément essentiel. Il
est en effet aisément possible de se prémunir
contre ce type d'attaque en suivant les conseils habituels
: désactiver la prise en charge de javascript et autres
langages de script dans son logiciel de messagerie (dans Outlook
: Outils > Options... > onglet Sécurité
> choisir Zone de sécurité "sites sensibles"),
prendre l'habitude de ne jamais cliquer sur les liens contenus
dans les messages non sollicités reçus et éviter
de surfer sur des sites douteux en même temps que sur
un site de confiance. Compte tenu du faible niveau de risque
il est inutile de désactiver javascript dans le navigateur
web. Les utilisateurs du navigateur Opéra peuvent par
ailleurs installer la dernière version du logiciel
(8.0.1 ou supérieure) depuis le site
de l'éditeur : l'affichage de la boîte de
dialogue javascript n'est pas empêché mais l'adresse
du site qui la contrôle y est indiqué en clair.
INFORMATIONS
COMPLEMENTAIRES :
Le langage javascript, supporté par défaut par
la majorité des
navigateurs, peut être utilisé pour piéger
un lien hypertexte pointant vers un site de confiance (par
exemple celui d'une banque) et déclencher l'ouverture
d'une fenêtre de navigation pop-up sans barre d'adresse
au moment du clic. Cette dernière peut alors venir
se placer au premier plan devant la page du site de confiance
visité, laissant croire que son contenu est contrôlé
par lui :
Une variante
plus anecdotique mais fortement médiatisée suite
à l'annonce d'une société de sécurité
consiste selon le même procédé à
commander l'ouverture d'une fenêtre de navigation pop-up
de
taille réduite puis l'affichage d'une boîte de
dialogue javascript depuis cette fenêtre, de manière
à ce que cette dernière vienne masquer plus
ou moins complètement la première :
L'internaute distrait ou inattentif peut alors penser que le message
affiché ou que les données collectées via cette
boîte de dialogue le sont par le site de confiance alors qu'ils
le sont par le site malicieux. De nombreux facteurs limitant dont
les fonctionnalités plus restreintes de javascript, la nécessité
d'avoir le langage javascript activé dans la page contenant
le lien piégé ou le fait qu'aucun site sérieux
n'utilise une boîte de dialogue javascript pour collecter
des données sensibles font cependant que les risques d'exploitation
malveillante de ces deux procédés sont faibles. La
technique ayant la faveur des escrocs reste en effet un simple lien
hypertexte pointant vers une page intermédiaire qui déclenche
l'ouverture d'une fenêtre pop-up usurpée, toujours
via le langage javascript, puis redirige immédiatement l'internaute
vers le site demandé (voir comme exemple l'attaque
par phishing du 27/05/05).
->
Microsoft
Security Advisories (902333) (en anglais)
-> FAQ
: comment déterminer le numéro de version de
votre logiciel?
|
