Selon Jeremiah Grossman, CTO de WhiteHat Security, qui s'exprimera pendant la session sur le thème "Casser les navigateurs : le piratage semi-automatique", "aucun des outils disponibles n'est vraiment difficile à utiliser." Celui-ci affirme que certaines méthodes d'attaque peuvent obliger les navigateurs à laisser filtrer les informations stockées selon le processus de saisie semi-automatique. Celle-ci vise à rendre plus simple le remplissage de formulaires sur les sites Web que les utilisateurs ont l'intention de visiter. Cela inclut les noms, adresses, adresses e-mail et dans certains cas, les mots de passe utilisés pour accéder à des sites comme une banque en ligne, les numéros de carte de crédit et les mots clefs d'une recherche. "Toutes ces informations relèvent de la vie privée et de la sécurité des données," déclare t-il.
Des failles exploitables dans tous les navigateurs
Certaines informations retenues par les navigateurs peuvent être utilisées pour mettre en place des attaques à plusieurs échelons, attirant l'utilisateur vers un processus dans lequel il est amené à donner encore plus d'informations ou à télécharger des logiciels malveillants susceptibles de compromettre ses comptes bancaires ou sa messagerie. Le plus sûr moyen de contourner le problème consiste à désactiver la fonction de saisie semi-automatique. Mais certaines personnes préfèrent conserver le confort de cette méthode de remplissage malgré le risque que cela représente. Si Jeremiah Grossman indique qu'il a du chercher des systèmes d'attaques différents pour chaque navigateur, il dit avoir trouvé une méthode capable de tirer parti de la saisie semi-automatique sur les différentes versions d'Internet Explorer 6 et 7, de Safari, de Chrome et de Firefox qui représentent un tiers des navigateurs utilisés sur Internet," précise t-il.
Pas de réponse du coté des éditeurs
Jeremiah Grossman affirme avoir pris la peine de signaler ces failles aux éditeurs de navigateurs, ajoutant qu'aucun ne lui a confirmé de plans précis pour y remédier. Plus d'une attaque sait simuler la frappe pour provoquer l'entrée du nom d'utilisateur, une première accroche pour pousser ensuite le navigateur à livrer davantage de données. Selon Jeremiah Grossman, le fait que chaque navigateur réponde différemment à l'attaque montre que les problèmes viennent du logiciel de codage. Ce qui lui fait dire que "le problème pourrait être corrigé». La faille trouvée dans Internet Explorer avait déjà été découverte par quelqu'un d'autre en 2008, "mais elle n'a toujours pas été patchée," indique t-il.
Illustration Jeremiah Grossman, CTO de WhiteHat Securit, crédit photo D.R.