Par ailleurs, celui-ci a précisé que toute l'attaque pouvait être complètement automatisée en s'appuyant sur une vulnérabilité encore non rendue publique, située ailleurs dans le site developer.yahoo.com. « Cela signifie que l'attaquant n'a plus besoin d'utiliser l'astuce Captcha », a-t-il dit. Il suffit que l'utilisateur visite une page spécialement conçue.

Parce que l'attaque exploite plusieurs failles de sécurité et utilise plusieurs techniques différentes, le chasseur de bogues la qualifie de « menace combinée ». Celui-ci envisage de partager ses découvertes avec Yahoo dès qu'il aura le temps de tout consigner dans un rapport. « En attendant, Yahoo peut bloquer ces attaques en empêchant des sites tiers non autorisés à charger dans un iframe des pages depuis son domaine developer.yahoo.com », a expliqué le chercheur. Ce type de défense est couramment utilisé contre les attaques dites « clickjacking » qui dépendent du chargement de pages légitimes dans un iframe pour les détourner. Cette défense peut être mise en oeuvre soit par un en-tête appelé X-FRAME-OPTIONS qui est pris en charge par les navigateurs actuels, ou en utilisant ce qu'on appelle un code JavaScript « casse-cadre ». Cette dernière solution a l'avantage de fonctionner aussi avec les anciennes versions des navigateurs, mais elle serait moins fiable.

Programmes rémunérés de chasse aux failles


Cela ne fait pas longtemps que Sergiu Dragos Bogdan s'est mis à la chasse aux failles sur le web. Néanmoins, il a déjà reçu une récompense de Google dans le cadre de son programme de détection de bugs et figure dans le listing associé. Google, Mozilla, Facebook et PayPal ont tous mis en place des programmes (« bug bounty programs ») pour inciter les internautes à trouver des vulnérabilités sur leurs sites web moyennant récompense sonnante et trébuchante. D'autres entreprises, comme Microsoft, n'offrent pas de récompense en argent, mais reconnaissent l'aide des chercheurs en publiant leurs noms dans une page de remerciement spéciale sur leurs sites Web.

Interrogé par nos confrères d'IDG News Service, Yahoo n'a pas répondu à la demande de commentaire sur l'attaque proof-of-concept présentée par Sergiu Dragos Bogdan au DefCamp et sur la solution qu'il propose.