Un chercheur en sécurité vient de trouver une faille dans le logiciel Internet Explorer. Cette faille permet de voler à distance tous les cookies d'un utilisateur, et donc de nombreuses informations personnelles pouvant servir à une usurpation d'identité : les cookies de nombreux sites, comme par exemple Facebook, sont concernés.

Lors de la conférence sur la sécurité du Hack in the Box d'Amesterdam, le chercheur indépendant Rosario Valotta a démontré qu'il était possible de dérober à distance les cookies d'un utilisateur d'Internet Explorer : un "cookie jacking".

Qu'est ce qu'un cookie ?

Aussi appelé "témoin de connexion", un cookie est un marqueur numérique qui prend la forme d'un petit fichier texte sur nos ordinateurs. Ils sont couramment utilisés par les sites Internet pour enregistrer certaines informations sur l'utilisateur, comme par exemple ses données d'identification (nom et mot de passe). C'est un passeport numérique qui permet d'accéder à ses différents comptes (Facebook, Viadeo, SNCF, Cdiscount, etc.). Une fois enregistrés sur l'ordinateur, les cookies facilitent la navigation, par exemple en ne demandant pas continuellement à l'utilisateur de s'authentifier. Nous utilisons tous les jours les cookies sans nous en rendre compte !

Les navigateurs Internet (Internet Explorer, Mozilla Firefox, Google Chrome, etc.) proposent aujourd'hui dans leurs options de gérer nous-mêmes les cookies : il est possible de régler leur durée de stockage, et même de les refuser. Dans ce dernier cas, la navigation Internet est moins aisée, il devient même impossible de fréquenter certains sites qui utilisent au maximum les fonctions du cookie.

Pourquoi mes cookies sont-ils des données sensibles ?

Le fait de se faire voler ses cookies à distance par un pirate est particulièrement préjudiciable : les cookies sont de véritables mines d'informations personnelles ! Le pirate peut par exemple sans mal prendre votre identité sur Facebook ou sur un site commercial grâce aux données stockées dans les cookies. Et ainsi entâcher votre réputation, dialoguer en votre nom, modifier votre adresse de livraison, et même dans certains cas procéder à des achats à votre place (usurpation d'identité).

La démonstration de Rosario Valotta vise spécifiquement les cookies émis par Facebook, Twitter et Google Mail, mais le chercheur affirme que la faille Internet Explorer (toutes versions confondues) peut-être utilisée sur quasiment tous les sites Internet, sur chaque version de Windows : XP, Vista, Seven, etc.

La faille sera probablement réparée prochainement, via une mise à jour Windows. Pour assurer vos arrières, vous pouvez en attendant effacer vos cookies : sous IE8 > Sécurité > Supprimer l'historique de navigation > Cocher Cookies > Supprimer. Ou alors adopter un autre navigateur Internet, au moins temporairement.

Source : UnderNews