Cookiejacking : une faille dans Internet Explorer pour voler des cookies

Un chercheur en sécurité a alerté les utilisateurs et Microsoft d'une nouvelle faille dans Internet Explorer. Son exploitation permettrait à un pirate de voler les cookies contenant login et mots de passe utilisés sur le Web.

Rosario Xalotta, chercheur italien indépendant en sécurité, est parvenu à exploiter une vulnérabilité dans les différentes versions d'Internet Explorer permettant de voler les cookies présents sur le poste de travail de l'utilisateur. Baptisée cookiejacking, cette technique de piratage vise à mettre la main sur les identifiants et mots de passe présents dans les cookies. Une personne malintentionnée peut ainsi s'authentifier en lieu et place de l'utilisateur.

Pour être exploitée, la faille nécessite cependant une manipulation particulière de l'utilisateur. En effet, l'attaque ne peut être réalisée qu'au moment où ce dernier exécute une action de glisser-déposer avec la souris sur un document, fichier, répertoire... Si sur le papier cette attaque paraît difficile à mener, Rosario Xalotta a montré qu'elle pouvait être menée à l'insu de l'utilisateur jouant à un simple jeu de puzzle sur Facebook.

Alerté par le chercheur, Microsoft estime que cette vulnérabilité n'est pas critique mais prévoit malgré tout un correctif dans les prochaines semaines.

Microsoft / Pirate