Passer au contenu

Les liens HTTP piégés préoccupent le Computer Emergency Response Team

Le Cert met en garde contre le cross scripting Cette technique affecte tous les sites web et donne accès à l’ordinateur des internautes

Le risque est préoccupant. Un pirate peut accéder à un intranet d’entreprise par une attaque de ce type “, déclare le Cert, une association fédérale américaine, dans une mise en garde publiée la semaine dernière. La technique incriminée, dite du cross scripting, consiste à introduire un script indélicat (écrit en JavaScript, VBScript, etc. ) dans un lien HTML, un champ de formulaires ou encore une requête de base de données.

Les connexions sécurisées par SSL ne sont pas à l’abri


Par exemple, si un internaute clique sur un lien contenant ce script malicieux, ce dernier sera exécuté sur le site vers lequel pointe le lien. Selon le degré de sécurité qui a été choisi par l’internaute pour le site de destination, le script pourra avoir libre accès à son PC. Ces scripts peuvent être stockés dans des cookies et s’exécutent à volonté. Pire : le cross scripting permet à un possesseur de site web de consulter et de modifier le contenu des formulaires remplis par l’internaute sur un autre site. Même les connexions sécurisées par SSL ne sont pas l’abri de ce genre d’attaque.
Selon le Cert, le problème serait structurel et inhérent au langage HTML. Cette association engage actuellement un travail de fond avec les fabricants et les éditeurs de logiciels afin de trouver une parade durable à cette vulnérabilité. Car pour l’instant, il ne semble pas possible de se prémunir totalement, même si désactiver l’exécution des scripts et de Java préserve de certains effets néfastes. Pour les webmestres, une inspection visuelle des liens qui pointent vers leur site peut se révéler utile… si toutefois ceux-ci ne sont pas maquillés.Profitant des lacunes de HTML, et comme aucune refonte de ce langage n’est prévue à court terme, cette faiblesse n’est pas près d’être résolue. Même si les éditeurs se mobilisent, force est donc de constater l’impuissance générale face à ce risque avéré.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


ÉRÔME SAIZ