Des chercheurs en sécurité ont mis à jour une nouvelle faille, exploitant les propriétés d’une fonctionnalité de CSS, et permettant de récupérer des informations confidentielles d’un internaute navigant sur un site espion.
Le CSS, pour Cascading Style Sheets (“feuilles de style en cascade”) est un langage informatique décrivant la présentation des documents HTML et XML. Malgré des défauts et limites souvent pointés du doigt, il reste largement utilisé.
Un site malveillant qui espionne les cessions ouvertes sur votre navigateur
Or, Ruslan Habalov et Dario Weißer, deux chercheurs en sécurité, viennent de révéler qu’une faille dans une des ses fonctionnalités, le mix-blend-mode, pouvait être utilisée pour capter les données personnelles d’un internaute. Ce mix-blend-mode décrit la façon dont le contenu d’un élément doit se mélanger avec le contenu de l’élément en dessous et avec son arrière-plan.
En utilisant un pixel espion sur un site malveillant, un pirate peut utiliser cette faille pour accéder à des données auxquelles il ne devrait pas avoir accès. Les chercheurs ont présenté une démonstration visant spécifiquement Facebook, dans le cas où un internaute se rend sur le site malveillant en ayant une cession ouverte sur le réseau social.
Une faille dans le CSS liée au navigateur, désormais corrigée
Si l’internaute utilise un navigateur où cette faille est présente, le site d’attaque peut exploiter une iframe liée à Facebook et utiliser la fonctionnalité du mix-blend-mode de CSS pour déduire les informations de la page Facebook de l’utilisateur – nom, like, photos de profil…
La technique est complexe, et nécessite de solides connaissances en langage informatique et en programmation, mais elle ne touche pas uniquement Facebook : la faille étant lié au navigateur, un potentiel attaquant peut récupérer des informations sur n’importe quel site ayant une cession ouverte en même temps que le site malveillant.
Pas de panique cependant : cette faille a été corrigée sur les dernières mises à jour des deux principaux navigateurs touchés, Chrome et Firefoxe – Internet Explorer, Edge et Safari n’était pas affecté par cette vulnérabilité. Rien d’autre à faire, donc, que de vérifier que nos navigateurs sont à jour. Et d’espérer que vos informations n’ont pas été dérobées par le passé…