Vol de crédence via Firefox et I.E.
Chapin Information Services prévient d'un risque encouru par les utilisateur de Firefox, risque pouvant toucher, dans une différente mesure, les usagers d'Internet Explorer. La technique consiste à intercepter les couples « login/mot de passe » stockés par le navigateur, non pas en insérant une station comme dans le cadre d'une attaque XSS, mais en renvoyant le contenu de la requête vers un système tiers. L'article décrivant la technique et pointant vers une preuve de faisabilité (à ne consulter qu'avec Firefox) baptise ce procédé Cross-Site Request Forgery (CSRF). Une alerte Secunia qualifie la technique de « peu dangereuse ». Le principe et l'exploit seraient, au dire des chercheurs, utilisé depuis déjà de nombreuses semaines. Le véritable danger de ce genre de hack n'est pas direct. Le vol d'une crédence d'accès à un blog ou un forum ne transformera jamais un black hat en millionnaire. En revanche, associé à un tantinet de social engineering, le procédé peut conduire tout droit sur les serveur de l'employeur de la victime, de son compte en banque ou d'autres ressources bien plus lucratives, en vertu du principe du « mot de passe unique et commun ». Les « password harvesters », une nouvelle race de cybertruands.
