Alerte sur les indiscrétions des cookies d’Opera
Une faille de sécurité permettrait d’accéder aux cookies stockés par le navigateur Opera, voire au cache et à l’historique des pages consultées. L’alerte a été postée sur la liste de diffusion Bugtraq par Georgi Guninski, un « chasseur de bogues » bulgare spécialiste de ce genre de révélations. Opera n’a pas encore sorti de patch mais, en attendant, il est possible de se protéger.
Opera n’est pas à l’abri des failles de sécurité. L’exécution d’un script permettrait en effet d’accéder aux cookies qu’il stocke sur l’ordinateur de ses utilisateurs. A peine deux semaines après la découverte d’une vulnérabilité similaire sur Internet Explorer, le « chasseur de bogues » bulgare Georgi Guninski (il possède à son actif pas moins de 70 découvertes de la sorte) vient de le révéler en postant un message sur Bugtraq, la liste de diffusion dédiée aux questions de sécurité. Dans son message, il explique qu’un « pirate » serait en mesure d’inclure un script sur une page Web ou dans un e-mail, lui permettant d’accéder ensuite aux informations stockées dans les cookies. Or les cookies sont des fichiers textes qui peuvent contenir des données sensibles telles les identifiants et mots de passe, voire le numéro de carte bancaire de l’utilisateur. Le cache du navigateur pourrait également se trouver exposé, ainsi que l’historique de navigation, ce qui est moins gênant dans l’absolu mais peut se révéler déterminant en l’associant avec le contenu des cookies. Opera a été alerté de la faille et déclare travailler dessus. Il s’agit de la vérifier et, si elle est confirmée, de mettre à disposition un patch corrigeant la vulnérabilité. Opera 5.02, 5.10, 5.11 et 5.12 pour Windows ainsi qu’Opera 5.0 pour Linux seraient concernés. Leurs utilisateurs peuvent se protéger, comme le suggère Georgi Guninski et Opera, en désactivant l’exécution des Javascripts (Fichier/Préférence/Plug-ins, décocher la case « Activer le JavaScript ») ou en interdisant la mise en cache des pages nécessitant des mots de passe, le stockage des cookies associés et l’apparition de l’URL dans l’historique (Fichier/Préférences/Vie Privée, cocher la case « Cookies pour tracer les documents protégés par un mot de passe ? »).