Une vulnérabilité vient d’être découverte dans le navigateur Internet Explorer de Microsoft par le chercheur en sécurité Rosadio Valotta. Elle permet de voler des cookies.
Lorsque ce type de faille est exploité, on appelle ça un cookiejacking. Rosadio Valotta a démontré qu’en raison de cette vulnérabilité présente sous Internet Explorer, il est possible d’accéder aux cookies et de dérober ainsi des informations sensibles comme l’identifiant et le mot de passe d’un utilisateur qu’ils contiennent, de quoi permettre au pirate de se connecter avec les comptes de sa victime sur divers sites Internet.Toutes les versions d’Internet Explorer sont concernées, y compris IE9.
Le pirate doit néanmoins d’abord repéré l’emplacement des cookies sur le disque local de l’utilisateur et posséder les identifiants et mot de passe de sa session Windows.
Et pour que cette faille puisse être exploitée, il est nécessaire que l’internaute glisse et dépose un objet depuis une page Web sur son bureau. Rosadio Valotta a mis au point un jeu de puzzle sur Facebook consistant à déshabiller une femme séduisante qui entraine une interaction de type glisser/déposer de la part de l’utilisateur. Il a ainsi pu récupérer 80 cookies, alors qu’il possède 150 amis.
Cependant, Microsoft minimise le risque d’exploitation de cette faille pour du cookiejacking, et ne considère pas qu’elle représente un risque très élevé d’après son porte-parole Jerry Bryant.
[Source : Reuters et LaptopSpirit]