Google : les attaques “cross-site leaks” sont une menace croissante

Spread the love
Google : les attaques

Google a mis en place un nouveau site pour suivre les attaques de type cross-site leaks, avertissant que ce type de faille est utilisé par certains sites pour voler des informations sur l’utilisateur ou ses données dans d’autres applications web.

Le nouveau wiki contient des informations sur les principes permettant le fonctionnement des failles de type cross site leaks, les attaques communes et les mécanismes de défense contre ces attaques.

publicité

“De plus en plus, les problèmes de sécurité découverts dans les applications web modernes reposent sur l’utilisation abusive de comportements connus de longue date des plateformes web, permettant à des sites peu recommandables de révéler des informations sur l’utilisateur ou ses données dans d’autres applications web. Cette catégorie de problèmes, généralement appelée “cross-site leaks” (XS-Leaks ou fuites intersites en français, ndlr), pose des défis intéressants aux ingénieurs en sécurité et aux développeurs de navigateurs web en raison de la diversité des attaques et de la complexité de la mise en place de défenses complètes”, a déclaré Google.

Le wiki explique que les XS-Leaks “sont une classe de vulnérabilités dérivées des canaux latéraux (side-channels, ndlr) au sein du web”.

“Ils tirent parti d’un principe fondamental du web, la “composabilité”, qui permet aux sites web d’interagir entre eux, et d’abuser de mécanismes légitimes pour déduire des informations sur l’utilisateur”, explique le wiki.

“Le principe d’un XS-Leak est d’utiliser ces canaux latéraux disponibles sur le web pour révéler des informations sensibles sur les utilisateurs, telles que leurs données dans d’autres applications web, des détails sur leur environnement local, ou les réseaux internes auxquels ils sont connectés”.

Si ces vulnérabilités ne sont généralement pas considérées comme des failles graves, elles sont également très courantes et peuvent servir de première étape pour des attaques plus complexes et plus dangereuses.

Google a travaillé sur les vulnérabilités XS-Leaks avec des chercheurs en sécurité depuis 2010 via son programme de bug bounty pour les sites web de Google, y compris Google et YouTube. Google avait auparavant une fonctionnalité dans Chrome appelée XSS Auditor qui scannait le code source d’un site web à la recherche de signes d’attaques de ce type sur le navigateur d’un utilisateur. Cependant, la société a supprimé XSS Auditor l’année dernière après avoir constaté qu’il provoquait lui-même trop de fuites XS Leaks.

Le wiki passe en revue les différents types d’attaques et offre un aperçu des outils de sécurité qui peuvent les contrecarrer ou les atténuer.

Il explique également comment les éditeurs de navigateurs web peuvent adopter de nouvelles fonctions de sécurité telles que Fetch Metadata Request Headers envoyées par les navigateurs avec des requêtes HTTPS pour obtenir des informations contextuelles sur l’origine d’une requête. Cela permet aux applications de prendre des décisions plus éclairées sur la façon d’y répondre.

Parmi les autres moyens de défense figurent la Cross-Origin Opener Policy, la Cross-Origin Resource Policy et les SameSite cookies.

Source : “ZDNet.com”

Leave a Reply