Il est loin le temps ou Javascript était considéré comme l’enfant un peu simplet de la famille web. Depuis, l’on a fait des choses fascinantes avec ce « petit » langage… Mais les attaquants l’ont eux aussi bien compris et Javascript a été largement mis à profit dans de nombreuses attaques contre le navigateur.

La dernière annonce en date montre comment il est possible d’utiliser Javascript et HTML 5 pour passer littéralement votre navigateur aux rayons X : obtenir l’historique de toutes vos visites, jeter un oeil au code source des pages que vous consultez (et donc aux informations potentiellement sensibles qui s’y trouvent) et même obtenir une copie fidèle du contenu de l’écran. Rien que ça !

Ces techniques ont été présentées à l’occasion de la conférence Black Hat 2013 à Las Vegas par Paul Stone, un chercheur en sécurité britannique.

La première méthode vise à accéder à l’historique des visites. Elle consiste à calculer le temps que met le navigateur à afficher les liens présents sur une page. Une différence infinitésimale existe entre l’affichage des liens déjà visités et les autres, ce qui suffit à l’attaquant pour dresser progressivement l’historique du navigateur. La technique peut sembler limitée puisque l’attaquant n’accède donc pas immédiatement à l’historique intégral. Mais elle peut se révéler très utiles dans un contexte d’analyse marketing ou si elle cible les utilisateurs d’un site en particulier, afin par exemple d’en dresser la cartographie d’une partie privée (ou d’un intranet sécurisé).

Ensuite, Stone passe à la vitesse supérieure et propose une méthode originale pour « voir » ce qui est affiché par le navigateur de sa victime. « Voir » est le terme adapté puisqu’il utilise pour cela un filtre graphique intégré aux navigateurs afin de détecter le contraste de chaque pixel, et reproduire ainsi une image du contenu de n’importe quelle iframe présente à l’écran.

Et là, ça devient très intéressant pour l’attaquant car l’utilisation de graphiques et de cadres (iframes) est une technique très utilisée en matière de sécurité, autant dans le domaine bancaire (pour afficher par exemple un clavier virtuel) que plus généralement avec les captchas. L’on peut imaginer qu’en utilisant cette technique de manière distribuée (via une régie publicitaire piratée, par exemple) un attaquant pourrait se créer une formidable machine à casser les captchas.

Enfin, la dernière technique démontrée par le chercheur lui permet d’accéder via Javascript au code source de n’importe quelle autre page ouverte dans le navigateur. Et l’on sait que le code source contient évidemment l’intégralité des informations affichées sur la page, ce qui peut s’avérer intéressant si l’utilisateur est connecté en parallèle à un intranet contenant des informations sensibles. Mais mieux encore, le code source peut aussi contenir des informations non-affichées potentiellement utiles dans le cadre d’une attaque ultérieure, telles qu’un identifiant utilisateur ou un nom d’utilisateur, par exemple…

Ces techniques seront probablement plus utiles dans le cadre d’une attaque ciblée que contre le grand public : combinées, elles permettent par exemple de dresser la cartographie d’un intranet, d’accéder aux codes PIN entrés via un clavier virtuel, d’obtenir des ID utilisateurs et de copier les informations sensibles qui s’affichent à l’écran.

Firefox aurait déjà corrigé la faille qui permet de « voir » le contenu d’un cadre. Pour le reste, la meilleure défense consiste pour l’instant à dédier un navigateur à la visite des sites sensibles, et n’ouvrir qu’une page avant de s’y rendre…