CSRF, le XSS 2.0
Deux articles fondamentaux ont été écrits, cette semaine, sur un sujet sortant un peu du train-train des méthodes d'attaque : l'un sur le blog d'Aviv Raffon, l'autre sur GNUCitizen. Tous deux parlent de CSRF, ou Cross Site Request Forgerie, une nouvelle forme d'attaque dérivée du « XSS » ou Cross Site Scripting, mais reposant essentiellement sur l'envoie d'une commande émanant d'un utilisateur connu, authentifié et autorisé par un serveur Web. Le tout, bien entendu, sans l'aval de l'usager en question. Le premier article nous explique comment lancer une attaque en déni de service contre des téléphones cellulaires, en les noyant le plus simplement du monde à coup de SMS. La faille exploite une « caractéristique » particulière aux portails Web d'envoi de SMS que l'on trouve en Iraël... mais pas seulement ; L'autre article, celui de GNUCitizen, -LES articles devrait-on écrire- s'étend sur les aspects pratiques des attaques en CSRF. Avec, en première partie, une mise en oeuvre dans le cadre des réseaux WiFi et exploitant une faille des routeurs WAG54gs (que les passionnés se rassurent, les personnes qui mette à jour les firmware de leurs routeurs ADSL sont exceptionnellement rares). Le second papier explique, de manière simple et très didactique, comment se déroule une attaque en CSRF. Un superbe exemple de bonne vulgarisation expliquant à la fois la nature du danger et les moyens généralement envisageables pour s'en préserver.
