Failles XSS : vos signets ont-ils été trafiqués?


Jean-François Ferland - 16/03/2007

À la suite d’articles parus dans les médias, le Mouvement Desjardins a formulé une mise en garde contre une arnaque où le signet trafiqué d’un fureteur Web peut mener vers un site dynamique pour l’obtention des informations d’accès d’un internaute. Deux experts en sécurité, l’un de l’ISIQ et l’autre de chez Desjardins, commentent le phénomène, encore peu connu du public, nommé cross site scripting ou faille XSS.

En plein milieu du mois de mars, qui a été déclaré Mois de prévention de la fraude, le Mouvement Desjardins a publié un communiqué de mise en garde contre « un nouveau type de fraude touchant la manipulation frauduleuse des « favoris » dans les navigateurs Internet de certains internautes. » En précisant que son site transactionnel AccèsD n’avait pas fait l’objet de fraude informatique ni d’attaques de fraudeurs, l’institution financière a formulé trois recommandations aux internautes.

Ces recommandations sont la possession de logiciels antivirus, anti-espion et coupe-feu à jour, l’assurance que l’adresse du site transactionnel débute seulement par l’URL officielle de type « HTTPS », ainsi que l’accès au site en tapant toujours l’adresse du site général puis en cliquant sur l’icône menant au site sécurisé. On mentionne aussi ceci : Évitez les automatismes telle l’utilisation de vos favoris.

Ce communiqué a été publié à la suite d’un article paru dans le quotidien Le Journal de Québec, où l’on rapporte que « des clients de la coopérative ont subi des attaques virtuelles réalisées par le biais de leurs favoris », ce qui aurait été « confirmé » par la porte-parole de la coopérative, Mme Nathalie Genest.

Lorsque jointe au téléphone, Mme Genest a indiqué que personne n’avait encore rapporté de fraude de la sorte à l’institution financière. « Ce n’est pas un phénomène récent, et des banques aux États-Unis ont déjà fait face à cette situation », a-t-elle précisé, en substance.

Croisements frauduleux

Selon Adonis Sawan, expert en sécurité à l’Institut de la sécurité de l’information du Québec (ISIQ) , une telle fraude impliquant des signets trafiqués survient lors d’un exploit de cross site scripting (XSS). Ce type d’attaque, ne sert pas spécifiquement à l’hameçonnage, mais vise à modifier des signets ou des fichiers reliés à un fureteur par le biais de l’exécution automatique d’un script en langage JavaScript à l’insu des internautes.

« Lorsqu’un usager reçoit un courriel avec un JavaScript ou qu’il visite un site Web, un blog ou un forum qui contient un tel script, ce script va s’exécuter dans le fureteur pour en changer les favoris ou voler des données, incluant les cookies (fichiers-témoins). L’utilisateur, lorsqu’il cliquera sur [le signet], ne se trouvera pas sur le vrai site, bien que la bonne adresse s’affiche dans le fureteur, et ne se rend pas compte [de la supercherie] », explique-t-il.

Interrogé à propos des recommandations formulées par Desjardins, M. Sawan croit qu’il faut plutôt éduquer le public à être vigilant et à adopter de bons comportements.

« Les logiciels antivirus ne bloquent pas ces attaques. La plupart des coupe-feu peuvent bloquer ces attaques, mais pas par défaut lors de l’installation. Si on fouille dans les menus, il y a une façon de bloquer l’exécution des scripts JavaScript. Mais le problème est que la plupart des sites dynamiques utilisent ces scripts. L’utilisateur se trouvera face à un choix. Il se dira J’ai besoin d’aller sur ce site, reviendra alors en arrière et activera les scripts.

« C’est le gros problème qu’ont 80 % des gens, qui ne sont pas techniques (sic). Il y aura le même problème avec le système d’exploitation Vista, où il y a plein de sécurité, mais qui devient très ennuyant. L’utilisateur contournera les mesures de sécurité, et on retournera au point zéro », ajoute-t-il.

Théorie et pratique

M. Sawan considère que de taper à la main l’adresse du site ne réglera pas le problème. « Même si l’utilisateur tape l’adresse à la main, si on modifie une ligne dans un fichier nommé Host dans une machine, il peut être envoyé à l’importe quel site, parce que la requête DNS est changée.

« Pour être sûr à 100 %, il faudrait taper à la main l’adresse IP du site. On peut imprimer une liste de ces sites et la coller devant nous sur le mur. Même quelqu’un qui a modifié les favoris ou l’entrée DNS dans le fichier Host ou sur le serveur DNS ne sera pas affecté… Mais connaissez-vous l’adresse IP du site [de votre banque]? », interroge M. Sawan.

« Une autre solution est de désactiver JavaScript, mais la plupart des sites ne marcheront plus. La plupart des coupe-feu n’offrent que d’activer ou désactiver ces scripts. Un fureteur ou un antivirus pourrait faire une demande à chaque fois lorsqu’il accède à un site, mais si l’utilisateur se fait dire qu’il est redirigé vers une autre adresse IP, il répondra Oui parce qu’il a entré une adresse [légitime] », poursuit-il.

Il indique que les développeurs des fureteurs devraient empêcher la modification de certains fichiers par d’autres personnes que l’administrateur du système, et précise que la version 7 du fureteur Internet Explorer intègre une fonction d’alerte lorsqu’un site est susceptible d’être voué à l’hameçonnage. M. Sawan recommande également aux internautes de ne pas visiter les sites inconnus.

Rassurer et prévenir

Sébastien Breton, conseiller en sécurité de l’information pour les services AccèsD, explique que le communiqué émis par Desjardins constituait un rappel de bonnes pratiques, et ce, à la suite de questions posées par les médias à propos de la manipulation des favoris.

« Il s’agit d’un cas hypothétique, mais possible, dans un contexte informatique. Nous n’avons pas de tels cas réels qui ont été perpétrés, déclare M. Breton. Le problème existe, mais il est peu courant. Il est relativement complexe à orchestrer et qui ne serait pas nécessairement plus payante que le phishing traditionnel par acheminement de courriel ou par hébergement d’un site frauduleux qui sera indexé dans un moteur de recherche pour profiter du trafic. Cela demande un investissement en temps et en connaissance, et sachant que leurs manigances seront détectées aussi rapidement que ne l’est une attaque traditionnelle, ce ne sera pas nécessairement rentable. »

M. Breton mentionne aussi que la majorité des systèmes d’exploitation et des fureteurs donne par défaut des signaux d’alarme, par exemple en demandant l’autorisation pour l’ajout automatique d’un signet aux favoris. Il souligne aussi que ce n’est pas un seul outil qui va « sécuriser » un utilisateur, mais plutôt le recours à divers logiciels de protection, à un système mis à jour et à un comportement prudent sur Internet.

« Il ne faut croire pas, malheureusement, que ces phénomènes vont être enrayés. Tout comme les crimes qu’il y a sur la rue, la criminalité Web est un phénomène social qui est là pour rester. Il faut être sensibilisé et faire attention… », déclare-t-il.


Recommandations variées

La fraude au moyen de la technique dite de l’hameçonnage, où un courriel malicieux contient un hyperlien qui dirige l’internaute vers un faux site transactionnel, a incité la plupart des institutions financières à suggérer à leurs clients de ne pas ouvrir les courriels identifiés à leur bannière et qui font état d’une erreur reliée à leur compte.

Toutefois, le recours à un signet (aussi appelé « favori ») préalablement créé est souvent suggéré à titre de moyen de prévention de l’hameçonnage. Une recherche rapide sur l’Internet a permis d’identifier des chroniqueurs, comme Bob Rankin, mais aussi des banques qui recommandent d’utiliser un signet pour accéder aux sites transactionnels financiers. Notamment, la LaSalle Bank de Chicago , la Bank of New Zealand de Nouvelle-Zélande et la Butterfield Privante Bank, entre autres, suggèrent cette approche.

Au Canada, les recommandations des institutions financières à propos du recours aux signets pour l’accès à leurs sites transactionnels sont partagées. Ainsi, la Banque de Montréal, la Banque Scotia et TD Canada Trust suggèrent la création d’un signet dans leurs sections dédiées à la sécurité des transactions en ligne.

La Banque Nationale, de son côté, recommande de ne pas accéder à son site en utilisant les favoris, alors que la Banque RBC fait la même recommandation en raison de possibles modifications de l’adresse URL menant au portail transactionnel.

À la Banque Laurentienne et à la Banque CIBC, les sections dédiées à la sécurité et les résultats fournis par les moteurs de recherche des sites n’ont pas rapporté d’utilisation des mots « signet(s) » et « favori(s) ».




Tags: , ,

À propos de Jean-François Ferland

Jean-François Ferland a occupé les fonctions de journaliste, d’adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.


Google+