Safari : une grosse faille avec le remplissage automatique

Christophe Laporte |
A l'occasion de la conférence Black Hat qui se tient la semaine prochaine, Jeremiah Grossman détaillera une faille particulièrement sensible sur Internet Explorer et Safari.

La fonction Remplissage automatique de formulaires peut selon lui jouer de vilains tours aux possesseurs d'Internet Explorer 6 et 7 et de Safari 4 et 5. Un utilisateur malintentionné peut récupérer l'ensemble de vos données stockées par cette fonction, sans que vous interveniez.

Il suffit au hacker de créer une page avec des champs communs "Nom", "Prénom", "Adresse email" et de mettre au point un script qui simule la saisie d'un caractère dans l'un de ces champs et le tour est joué.



L'homme n'avait pas prévu de communiquer sur cette faille, si Apple l'avait pris au sérieux. Il affirme avoir contacté la firme de Cupertino à ce sujet à deux reprises le mois dernier, mais n'a reçu depuis qu'un courriel de réponse automatique.

À cette occasion, il montrera également comment un webmaster peut discrètement s'il le souhaite effacer l'ensemble des cookies d'un navigateur distant. Apparemment, tous les butineurs sont concernés par ce problème.

Pour ces deux failles, Jeremiah Grossman a créé des preuves de concept. Il lui faut à peine 2,5 secondes pour supprimer tous les cookies d'un butineur.

avatar sebastiano | 

Ca pour une faille ...

Autrement, ce genre d'options devrait être banni, c'était sûr qu'il y allait avoir des failles avec des logiciels capables de remplir automatiquement des champs. Après réflexion, sa trouvaille tombe sous le sens, et je suis étonné que les "ingénieurs" Apple et Microsoft n'y aient pas pensé.

avatar JustThink | 

Ah ouais pas bête ! Je vais Tester cette technique pour voir combien de compte facebook j'arrive à voir !

avatar ce78 | 

J'ai toujours désactivé cette fonction, estimant qu'elle n'est pas sûre. J'utilise 1Password, avec un code d'accès compliqué.

avatar Le Chapelier | 

Une chose à dire... MOUAHAHAHAHAHAH !

avatar iNabil | 

pour le coup je ne comprend pas comment on peut ne pas prendre au sérieux des gens qui se donnent la peine de pointer des failles a corriger...

avatar BeePotato | 

Euh… tel que c’est décrit ici, son truc permet de récupérer le nom, le prénom et l’adresse mail de l’utilisateur (ainsi probablement que son adresse physique).
Et non pas « l'ensemble des données stockées par cette fonction » (ce qui inclut généralement un paquet de logins et mots de passe).
Ça fait tout de même une énorme différence !

avatar omega2 | 

BeePotato > La différence, c'est que visiblement tout peut être chopé en dehors des mots de passes (stockage et affichage automatique limité à un nom de domaine donnée) y compris les numéros de carte de crédit et autres infos bancaire.

Par contre c'est vrai les mots de passes sont sauf vu qu'ils ne seront pas remplis par le navigateur en dehors du site où on l'a saisie.

avatar macarel | 

Si on décoche "remplissage automatique" dans le préférences le problème est réglé?
Ou suis-je trop naïf?

avatar fiat lux | 

"Il affirme avoir contacté la firme de Cupertino à ce sujet à deux reprises le mois dernier, mais n'a reçu depuis qu'un courriel de réponse automatique"
Qu'est ce que c'est que ce gland qui ose déranger les seigneurs de chez Apple alors qu'ils sont en train de compter leurs $$ ??
Aucune éducation...

avatar Almux | 

Cet agaçant principe de "réponse automatique" n'est, malheureusement, que trop utilisé!
Une vrai calamité! Impossible d'avoir une communication et des échanges personnalisés avec des interlocuteurs que l'on a souvent besoin de contacter d'urgence.
Un manière de gommer l'existence et le respect de l'individu qui est absolument détestable!

avatar Tibiniou | 

Une preuve de plus (s'il en fallait encore) de l'arrogance dans laquelle s'enferme Apple... Think different qu'ils disaient...
Bien fait ! Na !

avatar Gr3gZZ | 

Je vous conseil d'utiliser l'extension lastPass qui lui stock les mdp sur un server et tout c'est chiffré, y'as une version pro mais elle sers à rien pour un usage normal.

Sinon y'as des applis qui prennent aussi en charge les favoris et les mdp, par exemple si je suis chez un ami pendant un bout de temps, je dl l'extension et si je veux mes favoris et mes mdp j'ai juste à me loguer.

avatar Nicky Larson | 

[quote]L'homme n'avait pas prévu de communiquer sur cette faille, si Apple l'avait pris au sérieux. Il affirme avoir contacté la firme de Cupertino à ce sujet à deux reprises le mois dernier, mais n'a reçu depuis qu'un courriel de réponse automatique. [/quote]
Je vois qu'apple fait des efforts sur la sécurité ...

vivement qu'il arrive un moment où la faille sera tellement énorme et exploité qu'ils s'en prendront pleins la gueule. Champagne ce jour là ...

avatar Armas | 

Ça fait un moment se je la connais, j'ai supprimé la fiche de carnet d'adresse a mon nom dans "carnet d'adresse" car au bout d'un moment, et a la suite d'une navigation intensive sur des sites de streaming, je me suis retrouvé saturé de pub de jeux, Microsoft et viagra.

avatar pierre.bed | 

@ Gr3GZZ Est-ce que LastPass est incompatible avec quelque chose de connu?. L'installation de LastPass a fait planter Safari 5 jusqu'à ce que je désinstalle la dizaine de fichiers qu'il avait installé…

avatar MadCluster | 

@ fiat lux

Tiens, c'est reparti avec les insultes, ça faisait longtemps...

avatar USB09 | 

@ iNabil :
Simplement parce qu il y en aura toujours sans doute. Dans la mesure ou il faut laisser tout de même entrer quelque chose.

CONNEXION UTILISATEUR