De nouvelles attaques exploitent les anciens problèmes des cookies dans les navigateurs

Au cas où vous l’auriez oublié ou si vous ne l’avez jamais su, les cookies peuvent être des cibles faciles pour des attaquants.

Le CERT (groupe d’intervention rapide face aux incidents informatiques) de l’institut d’ingénierie informatique de l’université de Carnegie-Mellon, parrainé par le ministère de la Sécurité intérieure des Etats-Unis, a publié cette semaine une note qui rappelle aux utilisateurs qu’il existe toujours toute une catégorie de vulnérabilités dans les cookies qui peuvent exposer les données personnelles, voire financières, des utilisateurs.

Cette publication a été motivée par le rapport de l’étude « Cookies Lack Integrity: Real-World Implications » présenté le mois dernier lors de la conférence USENIX. Ce rapport a été rédigé par Xiaofeng Zheng, Jian Jiang Jinjin Liang, Haixin Duan, Shuo Chen, Tao Wan et Nicholas Weaver de l’université de Tsinghua, de l’Institut international d’informatique, de Microsoft, d’Huawei Canada et de l’université de Berkeley.

Les auteurs de l’étude se sont intéressés à une attaque par injection de cookie qui peut être organisée même dans des connexions HTTPS sécurisées. Ils décrivent les vulnérabilités et les points faibles de la mise en œuvre de la norme RFC 6265 applicable aux cookies.

L’attaque, décrite lors de USENIX, repose sur une présence en position « homme du milieu » dans le réseau, ce qui permet d’insérer dans la session HTTP des cookies qui seront également transmis via des connexions HTTPS. Les chercheurs ont dévoilé que ces vulnérabilités existaient sur de nombreux sites très visités, comme Google et Bank of America, et ils ont ajouté que cette vulnérabilité pouvait déboucher ultérieurement sur des fuites de données personnelles, des détournements de compte, voire des pertes financières.

« Admettons que nous soyons sur un réseau que l’individu malintentionné peut contrôler (par exemple chez Starbucks ou un réseau WiFi ouvert). L’individu malintentionné intercepte momentanément la gestion de votre navigateur afin d’insérer un cookie pour un site cible » a expliqué Nicholas Weaver à Threatpost. « Un peu plus tard, lorsque vous visitez le site (sur un autre réseau, dans d’autres circonstances), votre navigateur transmet le faux cookie au site et celui-ci le traite. Il peut par exemple se contenter de surveiller l’utilisateur ou le cookie peut contenir une attaque XSS complète. »

Les chercheurs signalent que l’isolation par domaine des cookies est faible et que différentes domaines, liés, peuvent partager une sélection de cookies. Extrait du rapport:

« Un cookie peut avoir un marqueur ‘secure’ qui signifie que le cookie doit être transmis uniquement via HTTPS, ce qui renforce sa confidentialité lors d’une attaque de type « homme du milieu ». Toutefois, il n’existe aucune protection similaire de l’intégrité contre le même adversaire : une requête HTTP peut installer un cookie protégé pour son domaine. Un individu malintentionné sur un domaine lié peut violer l’intégrité du cookie à l’aide d’un cookie partagé. »

Même la stratégie de la même origine qui doit limiter le contenu de différents domaines n’offre pas une protection efficace contre de telles attaques car l’individu malintentionné peut forcer le navigateur de la victime à visiter un site malveillant.

« Dans la mesure où RFC 6265 ne définit aucun mécanisme pour garantir l’isolation et l’intégrité, certains navigateurs Internet n’authentifieront pas le domaine qui installe le cookie » peut-on lire dans la note du CERT. « Un individu malveillant peut profiter de la situation et installé un cookie qui sera utilisé ensuite via une connexion HTTPS au lieu du cookie installé sur le vrai site ».

Les chercheurs ont proposé plusieurs mesures de protection, la principale étant l’introduction de HSTS (HTTP Strict Transport Security), ainsi que des suggestions de modification que devraient adopter les éditeurs de navigateur. Le document évoque également un exemple d’extension de navigateur qui isole mieux les cookies entre les domaines HTTP et HTTPS.

« HSTS ne permet pas à votre navigateur d’accepter le cookie de l’individu malintentionné pour tous les sites compatibles avec HSTS que vous avez déjà visités, car ils arrivent via HTTP et non HTTPS » a déclaré Nicholas Weaver. « Par conséquent, tout site qui utilise HSTS pour son domaine de base et ses sous-domaines est immunisé.

« les [navigateurs] doivent changer la manière de traiter les cookies , ce qui n’est pas sans risque car une stratégie plus stricte à l’égard des cookies pourrait casser les sites existants » a ajouté Nicholas Weaver.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *