Le chercheur sur les problématiques de sécurité Rosario Valotta a récemment démontré la technique dite de «cookie-jacking » et a révélé les détails sur son blog. Cette attaque utilise une vulnérabilité de type « zero day » affectant toutes les versions d'Internet Explorer et quel que soit l'OS Windows. Un cookie est un petit fichier texte utilisé par un navigateur web ou une application pour stocker des informations comme les préférences du site ou les paramètres d'authentification de l'utilisateur. La technique utilisée par le chercheur exploite une faille qui contourne la protection intégrée à Internet Explorer afin de permettre au pirate de capturer le contenu des cookies.

La plupart des fichiers visés contiennent du texte qui serait de peu de valeur. Mais, si vous êtes connecté à un site comme Facebook, Twitter, ou Gmail, les cookies sont utilisés pour stocker des données d'identification, de sorte que le site se souvienne de l'utilisateur lors de ses prochaines visites. Si un pirate peut détourner ces cookies, il pourrait usurper l'identité ou accéder aux données personnelles conservées au sein du site ou de l'application.

Une conjonction de circonstances

Jerry Bryant, responsable des communications au sein de la division Trustworthy Computing de Microsoft, a minimisé la menace, en arguant de la complexité de l'attaque et du niveau d'interaction avec l'utilisateur requis pour que cela fonctionne. « Pour être éventuellement touché, un utilisateur doit être authentifié sur le site où réside le cookie, il doit ensuite visiter un site web malveillant, et accepter le fait de cliquer et faire glisser des éléments sur la page » précise-t-il.  Bien que tout cela soit vrai, de nombreux utilisateurs cochent néanmoins la case « ne pas me déconnecter » ou « garder ma session active » afin de ne pas entrer de nouveau leur identifiant lors d'une prochaine visite. Pour prouver sa démonstration, Rosario Valotta a créé un jeu sur Facebook où l'utilisateur doit enlever des habits d'une jeune femme (une sorte de puzzle). Le tour est joué...

Même si Microsoft ne considère pas la menace comme sérieuse, la firme de Redmond envisage la mise en place d'un correctif prochainement.