Un chercheur en sécurité a mis au point une attaque qui vole à distance des informations d’identification numérique utilisées pour accéder à des comptes d’utilisateurs sur Facebook et les autres sites Web en exploitant une faille dans Microsoft Internet Explorer.
Le chercheur indépendant Rosario Valotta a démontré le PoC (preuve de concept) son “cookie jacking” la semaine dernière à la conférence de sécurité Hack in the Box à Amsterdam. Il exploite une faille qui est présente dans toutes les versions actuelles d’Internet Explorer pour voler les cookies de session utilisés par Facebook et d’autres sites une fois qu’un utilisateur a entré un mot de passe valide et le nom d’utilisateur correspondant. Le cookie agit comme un passeport numériques qui permet à l’utilisateur d’accéder à un compte spécifique.
Le code preuve de concept vise spécifiquement les cookies émis par Facebook, Twitter et Google Mail, mais Valotta explique que la technique peut être utilisée sur pratiquement n’importe quel site et affecte toutes les versions de Windows. “Vous pouvez voler un cookie”, a t-il dit à The Register. “Il y a nombre énorme de clients touchés (toutes les versions d’IE et de Windows).”