CERT-XMCO : Navigation sur Internet et vie privée avec Firefox
avril 2010 par CERT-XMCO
* Plugging the CSS History Leak
– Date : 01 Avril 2010
– Gravité : Faible
– Description :
Dans un bulletin paru sur le blog Sécurité de la fondation Mozilla, l’éditeur de Firefox annonce être en train d’intégrer une solution visant à résoudre une faille présente dans de nombreux navigateurs et pouvant mener à une fuite d’informations personnelles.
La faille en question existe depuis de nombreuses années et permet de savoir à distance si un utilisateur a déjà visité un site web particulier. La faille repose sur le fait que le navigateur présente les liens pointant vers des sites visités d’une façon différente de ceux pointant vers des sites non visités. Avec un simple script JavaScript, il est possible pour un pirate de comparer la façon dont est affiché un lien (propriétés CSS). La faille de sécurité est donc vicieuse, mais peut être utilisée afin d’extraire une quantité d’information non négligeable sur la vie privée des utilisateurs.
Le développeur a proposé une solution technique dissociant la partie "affichage" de la partie "récupération d’information" de certaines propriétés CCS comme ":visited". Mozilla pense que cette solution pourrait être utilisée par les autres navigateurs, mais prévient néanmoins que d’autres techniques du même type peuvent toujours être utilisées par des pirates afin d’extraire des informations personnelles.
Les sites suivants donnent un aperçu de ce qui est réalisable en exploitant ce "canal caché".
http://www.haveyourfriendsbeenthere.com/
– Référence :
http://blog.mozilla.com/security/2010/03/31/plugging-the-css-history-leak/
http://dbaron.org/mozilla/visited-privacy
http://www.haveyourfriendsbeenthere.com/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0389