Firefox 2 et IE7 sont vulnérables à une faille qui permettrait à un attaquant de dérober des mots de passe.
En question, une vulnérabilité dans la fonctionnalité RCSR (Reverse Cross Site Request). D'après le site du CIS, le Chapin Information Services, qui a revendiqué la découverte de cette faille, cette dernière permet à un attaquant de compromettre les mots de passe et l’identifiant d'un internaute. Nos garnements de la Toile, peuvent en effet récupérer ces données en envoyant l'utilisateur vers une fausse page d'identification.
Le manager de mot de passe des navigateurs va alors automatiquement entrer les mots de passe sauvegardés dans l'espace dédié à cet usage.
La donnée saisie est alors automatiquement renvoyée sur l'ordinateur de l'attaquant sans que l'utilisateur piégé ne se doute de rien indique le CIS. Un exploit pour cette faille a déjà été repéré sur le réseau communautaire MySpace et pourrait affecter toutes les personnes susceptibles d'utiliser un weblog ou un forum qui permet l'ajout de code HTML.
D'après le CIS : "les utilisateurs de Firefox et IE doivent être au courant du fait que leurs informations personnelles peuvent être dérobées en visitant un blog ou les forums de sites web, même de renom".
D'après le spécialiste de la sécurité Netcraft, qui a découvert l'exploit utilisé pour MySpace, une page de log in frauduleuse était carrément hébergée sur les serveurs de MySpace. De quoi rester perplexe face au faible niveau de sécurité du service.
Cette fausse page ne montrant aucun signe en provenance de l'extérieur, l'arnaque est transparente et par conséquent très convaincante. D'ailleurs, le CIS signale que même des utilisateurs conscients des risques peuvent devenir des victimes.
L'attaque est lancée depuis une page de profil et elle utilise de l’HTLM spécialement écrit pour rester indétectable. La fausse page de login se lance et cache le contenu MySpace authentique.
D'après le CIS, une attaque RCSR a plus de chance de réussir qu'une attaque XSS (cross-site scripting) parce que, ni IE7, ni Firefox, n'ont été conçus pour vérifier la destination des données identifiantes. Le navigateur ne déclenche aucune alarme car il considère que l'exploit provient d'une page de confiance.
Pour l'instant, aucun correctif n'a été publié. Cependant d'après Secunia il existe un moyen de se prévenir de cette attaque sur Firefox en empêchant dans le menu préférences, "la sauvegarde des logs", une option qui n'est pas automatique sous IE7. Enfin, le CIS recommande à tous les webmasters de revoir le code du serveur en gardant à l’esprit la possibilité d'injection de XSS et de RCSR, notamment les opérateurs de sites cryptés.