Grosses failles de sécurité dans HTML 5
L'arrivée du HTML5 apporte un grand nombre de fonctions natives dans les navigateurs mais certains pointent également des failles facilement exploitables par les hackers.
Le HTML5 ne fait pas qu'améliorer la performance de l'Internet, il introduit aussi de nouveaux risques contre lesquels les experts en sécurité mettent en garde. C'est le cas de l'équipe qui travaille sur le navigateur Firefox, laquelle associe d'emblée langage HTML5 et problèmes de sécurité. Ainsi, Sid Stamm, qui s'est exprimé la semaine dernière au cours du Symposium sur la sécurité Usenix à Washington, certes, "grâce à ce langage, les applications Internet deviennent incroyablement plus riches, le navigateur peut exécuter des applications complètes et pas seulement afficher des pages Web." Mais en même temps, le membre de l'équipe de développement de Firefox chargé des questions de sécurité chez Mozilla a averti qu'il y avait "beaucoup d'angles d'attaques auxquels il fallait penser." La même semaine, il a réitéré son inquiétude, alors que des développeurs du navigateur Opera faisaient savoir qu'ils cherchaient à réparer une vulnérabilité dans la fonction tampon de rendu d'image du HTML5.
De nouvelles vulnérabilités
Pour certains chercheurs en sécurité, il est inévitable que le HTML5, nouvelle norme du World Wide Web Consortium (W3C) pour l'affichage des pages Web, arrive avec son lot de vulnérabilités. Mais pour le chercheur en sécurité Lavakumar Kuppan, "si le HTML5 apporte de nombreuses fonctionnalités et plus de puissance à l'Internet, il ouvre la porte comme jamais à un nombre beaucoup plus élevé d'actions malveillantes." Pour Kevin Johnson, testeur en systèmes de sécurité au sein de la société de conseil Secure Ideas, "le W3C a validé la refonte du langage HTML parce qu'il permet d'exécuter des applications au sein des navigateurs web, mais nous savons depuis des années quel est leur niveau de sécurité." Ajoutant que " nous devons revenir en arrière et admettre que le navigateur Internet constitue un environnement potentiellement malveillant." Aujourd'hui, les chercheurs regardent de plus près les fonctionnalités de mise en page, les capacités de stockage de données hors connexion, de rendu d'image et d'autres encore qu'apporte le HTML5.
Détournement de la mémoire tampon
Cet été par exemple, Lavakumar Kuppan et un autre chercheur ont découvert comment on pouvait détourner le cache du HTML5. "Google Chrome, Safari, Firefox et la version bêta du navigateur Opera utilisent déjà cette fonctionnalité, et pourraient être sujets à des attaques selon cette approche" font-ils remarquer. Les chercheurs soutiennent que, dans la mesure où tout site Web peut générer un cache sur l'ordinateur de l'utilisateur, et, dans certains cas, sans son autorisation explicite, un attaquant pouvait introduire une fausse page d'idenfication pour un site de réseau social ou d'e-commerce et l'utiliser ensuite pour voler des informations confidentielles. D'autres chercheurs sont plus perplexes vis-à-vis de ces conclusions. «Le point de vue est intéressant, il ne semble pas apporter aux pirates d'avantage supplémentaire comparativement à ce qu'ils peuvent déjà réaliser », écrit Chris Evans, le créateur du logiciel Very Secure File Transfer Protocol (vsftpd) sur la liste de diffusion Full Disclosure. Dan Kaminsky, chercheur pour Recursion Ventures, une entreprise spécialisée dans la sécurité, a convenu que cette méthode était un prolongement des attaques développées avant le HTML5. «Les navigateurs ne se contentent pas de chercher le contenu, de le restituer, et de le retirer. Ils savent aussi le mettre de côté pour un usage ultérieur... Lavakumar Kuppan fait remarquer que "les technologies de cache de la prochaine génération souffriront de cette même faiblesse." Les critiques ont convenu que ces attaques pourraient se produire sur des sites n'utilisant pas la norme Secure Sockets Layer (SSL) pour crypter les données entre le navigateur et le serveur hébergeant la page Web, ce qui est assez fréquent. Et même si ce type de vulnérabilité n'est pas nouveau, le travail effectué par les chercheurs montre que l'ancienne méthode peut être réutilisée dans ce nouvel environnement.
Des fonctionnalités sources de failles
Kevin Johnson affirme que de nombreuses fonctionnalités apportées par le HTML5 sont des menaces en elles-mêmes, parce qu'elles augmentent le nombre d'entrées exploitables par des attaquants. "Pendant des années, la sécurité a mis l'accent sur les vulnérabilités - la saturation de la mémoire tampon, les attaques sur le SQL. Nous les corrigeons, nous les réparons, nous les surveillons », a-t-il déclaré. Mais dans le cas de HTML5, ce sont souvent les fonctionnalités elles-mêmes qui peuvent servir de vecteur d'attaque," a-t-il ajouté. A titre d'exemple, celui-ci cite le service Gmail de Google, qui utilise déjà les capacités de stockage local du HTML5. Auparavant, un attaquant devait voler les cookies d'une machine et les décoder pour en extraire le mot de passe du service e-mail en ligne. Maintenant, il lui suffit d'entrer dans le navigateur de l'utilisateur, dans lequel Gmail conserve une copie de la boîte de réception. «Ces fonctionnalités font peur," dit-il. "L'attaquant qui trouve une faille dans l'application Web, peut y injecter du code HTML 5, modifier le site et y placer des choses qu'on ne peut pas voir." Le stockage local permet à un pirate de lire les données à partir du navigateur, ou d'y insérer des données autres à l'insu de l'utilisateur. Avec la géolocalisation, il peut connaitre la position géographique de l'utilisateur. Avec la nouvelle version des feuilles de style en cascade (Cascading Style Sheets, CSS), un attaquant peut contrôler l'affichage de certains éléments. Dans le HTML5, le WebSocket fournit une pile de communication au navigateur, qui pourrait être détournée et utilisée comme voie de communication clandestine.
Un meilleur contrôle des extensions
Cela ne veut pas dire que les éditeurs de navigateurs internet ne sont pas conscients de ces problèmes. Même s'ils travaillent pour intégrer les nouvelles normes, ils cherchent aussi les moyens d'éviter l'utilisation abusive de leurs produits. Lors du Sypmposium Usenix symposium, Sid Stamm a mis en valeur certaines techniques explorées par l'équipe de Firefox pour limiter les dégâts qui pourraient survenir avec ces nouvelles technologies. Il a par exemple évoqué la plate-forme de plug-in alternative, appelée Jetpack, qui permettrait d'avoir un contrôle plus strict sur les actions exécutables par une extension. "Si nous avons un contrôle complet de l'interface de programmation des applications, nous pourrons être en mesure de dire: «telle extension demande un accès à Paypal.com, l'autorisez-vous ? " a-t-il expliqué. Le Jetpack peut également utiliser un modèle de sécurité dans lequel le plug-in doit déclarer au navigateur chaque action qu'il entend entreprendre. Le navigateur contrôlerait le module complémentaire afin de s'assurer qu'il se conforme aux paramètres d'autorisation.
Pourtant, les critiques soutiennent que les développeurs de navigateurs doivent encore apporter la preuve qu'ils font bien le nécessaire pour sécuriser le HTML5. "L'éditeur doit commencer par évaluer si les nouvelles fonctionnalités sont utiles avant de les déployer dans le navigateur, "a déclaré Johnson." Ce sera peut-être l'une des rares fois où l'on pourra entendre quelqu'un dire que « Internet Explorer 6 était peut-être mieux."
Photo: D.R