Le vocabulaire des spécialistes en sécurité vient de s’enrichir d’un nouveau terme : le « cookiejacking ». C’est un Italien, Rosario Valotta, qui en est à l’origine. Ce chercheur en sécurité informatique a découvert une méthode pour accéder aux contenus des cookies stockés sur les ordinateurs en exploitant des vulnérabilités d’Internet Explorer (jusqu’à la version 9) et de Windows. Il a raconté son histoire à Reuters et publié sur son blog une vidéo de démonstration (voir ci-dessous).
L’accès aux cookies, ces petits fichiers créés par les sites Web lors de la visite d’un internaute, renferment parfois des données de connexion sensibles. Rosario Valotta aurait informé Microsoft de sa trouvaille dès le mois de janvier dernier. L’éditeur, selon des propos rapportés par Reuters, estime que le risque d’une attaque n’est pas élevé, dans la mesure où elle est très compliquée à mettre en œuvre.
Un puzzle piégé sur Facebook
Pourtant, Rosario Valotta y est parvenu. Le chercheur a créé sur Facebook un petit puzzle piégé : « En l’espace de trois jours, j’ai récupéré plus de 80 cookies, alors que je n’ai que 150 amis. » Les conditions pour réussir une attaque sont pourtant nombreuses. Le pirate doit en effet découvrir la version du système d’exploitation de sa victime et son nom d’utilisateur sous Windows (afin de connaître le répertoire de stockage des cookies). Enfin, la technique ne fonctionne que si la victime est connectée sur le site associé au cookie ciblé par l’attaque.
Pas si simple, mais Rosario Valotta explique en ligne comment il a procédé. Il faut d’abord conduire la victime sur une page piégée et l’amener à interagir sur cette page. Compliqué ? « Pas du tout, répond le chercheur. Il faut juste trouver le bon sujet à mettre sur votre page piégée. » Le chercheur italien promet d’afficher une jeune femme nue à ceux qui parviendront à reconstituer son puzzle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.