Le hack « mot de passe » Firefox fait école
Il n'aura pas fallu longtemps pour qu'une autre approche des attaques en Cross-site request forgery (CSRF) fasse son apparition : après la fuite du couple login-mot de passe sur Firefox, voici la reprise de l'idée sous Word signée Michael Daw. L'exploit fait appel soit à un cadre d'image pointant sur une URL, soit à un tag IMG caché dans un document, qui sera exécuté à chaque ouverture du fichier sans que l'usager en soit prévenu. Et c'est bien là le danger : il n'est absolument pas nécessaire d'activer le lien avec une action de la souris. Les administrateurs prudents ont, depuis longtemps, généralement bannis toute possibilité d'ouverture, voir de transmission de fichiers Word en attachement dans un courriel. Mais il existe mille et unes autre possibilités pour que le document en question puisse atterrir sur le bureau de la victime. L'auteur de l'exploit mentionne notamment SharePoint Portal Server. Le principe d'une attaque CSRF, si elle peut faire penser à une attaque en « cross site scripting », en diffère par le trajet des requêtes et le. Le CSRF repose sur le fait que l'utilisateur possède un droit d'accès sur un site convoité, doit d'accès que le pirate souhaite utiliser en provoquant son émission « spontanée ». L'attaquant communique donc à la victime une image cachant une URL du site en question, URL dont la présence va automatiquement déclencher soit un cookie de « login automatique », soit un mécanisme de connexion simplifiée (comme c'était le cas pour l'exploit Firefox). Rappelons qu'en vertu du principe de moindre effort, 80% des utilisateurs emploient généralement un même et unique mot de passe pour la plupart de leurs connexions sécurisées. Même si toutes les précautions d'amnésie programmée sont prises dans le cadre de certaines transactions (en forçant une expiration des cookies par exemple), il est toujours possible de deviner la clef d'accès d'un serveur en récupérant les crédences d'un site moins sécurisé (forum, blog, messagerie privée etc)