Le « cookiejacking », nouvelle menace pour Internet Explorer

Vous êtes ici : Accueil > Actualités

Publié le : 09/06/2011 vers 11h par :
Gilles SALOMON

Un chercheur italien a démontré comment dérober à distance des informations de connexion stockées dans des cookies par IE. La technique est complexe et n’inquiète pas Microsoft… à ce stade.

Le vocabulaire des spécialistes en sécurité vient de s’enrichir d’un nouveau terme : le « cookiejacking ». C’est un Italien, Rosario Valotta, qui en est à l’origine. Ce chercheur en sécurité informatique a découvert une méthode pour accéder aux contenus des cookies stockés sur les ordinateurs en exploitant des vulnérabilités d’Internet Explorer (jusqu’à la version 9) et de Windows. Il a raconté son histoire à Reuters.

L’accès aux cookies, ces petits fichiers créés par les sites Web lors de la visite d’un internaute, renferment parfois des données de connexion sensibles. Rosario Valotta aurait informé Microsoft de sa trouvaille dès le mois de janvier dernier. L’éditeur, selon des propos rapportés par Reuters, estime que le risque d’une attaque n’est pas élevé, dans la mesure où elle est très compliquée à mettre en œuvre.

Un puzzle piégé sur Facebook : Pourtant, Rosario Valotta y est parvenu. Le chercheur a créé sur Facebook un petit puzzle piégé : « En l’espace de trois jours, j’ai récupéré plus de 80 cookies, alors que je n’ai que 150 amis. » Les conditions pour réussir une attaque sont pourtant nombreuses. Le pirate doit en effet découvrir la version du système d’exploitation de sa victime et son nom d’utilisateur sous Windows (afin de connaître le répertoire de stockage des cookies). Enfin, la technique ne fonctionne que si la victime est connectée sur le site associé au cookie ciblé par l’attaque.

Pas si simple, mais Rosario Valotta explique en ligne comment il a procédé. Il faut d’abord conduire la victime sur une page piégée et l’amener à interagir sur cette page. Compliqué ? « Pas du tout, répond le chercheur. Il faut juste trouver le bon sujet à mettre sur votre page piégée. » Le chercheur italien promet d’afficher une jeune femme nue à ceux qui parviendront à reconstituer son puzzle. (Source 01 net)

Votre commentaire:

Votre pseudo :

Votre commentaire :

Saisir les caractères ci-contre dans le champ suivant :
 Rafraichir

PseudoCommentaire
Soyez le premier à réagir !
Nos partenaires : www.bestof-microsoft.com | www.exchangedump.com | www.exchangedump.com | www.formation-exchange.com | www.formation-management-dif.com | www.formation-mcpd.com | www.formation-pmp.com | www.formation-seven.com | www.formation-windows-7.com | www.formation-windows7.com | www.formation-windows-seven.com | www.certification-mcpd.com | www.certification-windows-7.com | www.consulting-exchange.com | www.e-managementinstitute.org | www.certification-mcitp.com | www.formation-mcsa.com | www.bestof-exchange.com | www.exchange-consulting.com | www.bestof-voip.com | www.formation-cisco.com www.formation-mcitp.com.com | www.laboratoire-exchange.com | www.messagerie-consultant.com | www.bestof-windows.com | www.bestof-sharepoint.com | www.messagerie-consultants.com | www.formation-mcts.com | www.consultant-messagerie.com