Internet Explorer une faille Cookiejacking utilise les cookies

Publié le 28 Mai 2011

ie

 

 Une faille de sécurité a été découverte dans le navigateur de Microsoft Internet Explorer, elle permettrait à un pirate informatique de récupérer les cookies de connexion des comptes Facebook, Twitter et autres sites web de l'internaute.

 Un chercheur italien en sécurité informatique, Rosario Valotta, a découvert une faille dans Internet Explorer baptisée "cookiejacking", elle concerne toutes les versions d'Internet Explorer y compris Internet Explorer 9 et sur n’importe quelle version de Windows.
"N'importe quel site web. N'importe quel cookie. La seule limite est votre imagination" a prévenu l'expert en sécurité.

 Cette faille sur Internet Explorer concerne la gestion des "cookies" stockés sur l'ordinateur de l'utilisateur, il suffit qu'une personne malveillante prenne possession du cookie pour s'authentifier et accéder aux sites de l'internaute comme Facebook, Twitter et autres sites web.

 Pour rappel, les cookies sont des fichiers au format texte, contenant en autre l'identifiant et le mot de passe de l'utilisateur, qui permettent à l'utilisateur d'être reconnus sur les sites demandant une identification.

 Mais pour que cette vulnérabilité soit exploitée, il faut susciter l'intervention de l'utilisateur par un glisser-déposer d'un objet d'une page web vers le bureau de Windows et c'est l'objet qui transmettra le cookie.

 Pour mettre en pratique sa découverte, Rosario Valotta, a créé un jeu de puzzle sur Facebook dont le but est de déshabiller une jeune fille (d'où l'action de la souris avec le glisser-déposer) et il ajoute :
"J'ai publié ce jeu en ligne sur Facebook qui comprend seulement 150 amis et en moins de trois jours, plus de 80 cookies ont été envoyés sur mon serveur."

 Rosario Valotta a publié une vidéo de démonstration :



 

 Microsoft se veut rassurant sur cet exploit, la firme de Redmond considère la faille comme minime d'après son porte-parole Jerry Bryant : "En raison du niveau requis d'interaction, nous ne considérons pas ce problème comme étant d'un risque très élevé", mais prépare un correctif pour les semaines à venir.


Source : Tentacoloviola - Reuters (Ang) - Reuters (FR)

 

Rédigé par Cybersecurite

Publié dans #Navigateur

Repost 0
Commenter cet article