Pour gérer vos consentements :

Faille de sécurité sur eBay : tant qu’il y aura JSFuck

Averti à la mi-décembre de l’existence, sur sa plate-forme e-commerce, d’une faille de sécurité exposant potentiellement plus de 150 millions d’utilisateurs actifs, eBay n’a toujours pas appliqué de correctif.

Check Point, qui a mis le doigt sur cette vulnérabilité aujourd’hui objet d’alertes croisées, souligne que le groupe américain n’a « pas prévu » de remédier à la vulnérabilité, comme il le lui a fait savoir dans une communication du 16 janvier.

Alors, c’est grave, docteur ?

Conçue pour contourner les processus de validation de code mis en place par eBay, la faille est assez impressionnante sur le plan technique. Elle s’appuie en l’occurrence sur JSFuck, présenté par son fondateur Martin Kleppe comme « un style de programmation ésotérique et éducatif ».

Sa particularité : il n’exploite que 6 caractères pour contourner les processus de nettoyage des principaux systèmes de détection d’intrusions et d’activités malveillantes.

Les crochets ouverts et fermants (« [ » et « ] ») permettent d’accéder à des éléments de tableau et à des propriétés d’objets, mais aussi d’obtenir des nombres et les convertir en chaînes de caractère.

Les parenthèses ( « ( » et « ) ») servent à appeler des fonctions et à éviter des erreurs d’analyse. Le « + » et le « – » sont quant à eux exploitables pour ajouter des éléments à des chaînes de caractères, tout en additionnant en en convertissant des éléments en nombres. Quant au point d’exclamation ( « ! »), il crée des valeurs booléennes.

Un petit exemple : « +[] » produit la valeur 0 (zéro), car on demande la première valeur d’une liste vide.

« What the JSF*** ? »

Pour la conversion en valeurs booléennes : « ![] » produit « faux » ; « !![] » produit « vrai ». En convertissant « vrai » en nombre entier avec la commande « +!![] », on obtient la valeur 1. Si on souhaite obtenir une chaîne de caractères, on ajoute « +[] ». Cela donne, dans le cas présent, « +!![]+[] ».

Pour avoir une idée de ce à quoi ressemble un entier ainsi représenté, voici le nombre 123 : « +((+!![]+[])+(!+[]+!![])+(!+[]+!![]+!![]+[])) » (plus de détails dans le répertoire GitHub de JSFuck).

En théorie, le système de filtrage de balises HTML mis en place par eBay empêche l’intégration de scripts ou d’iframes. Sauf que les 6 caractères utilisés avec JSFuck passent à travers les mailles du filet, car aucun d’eux n’est de type alphanumérique.

Qu’est-ce que cela signifie ? Qu’un tiers peut, dans n’importe quelle annonce, insérer du code malveillant qui déclenchera diverses actions : téléchargement d’une application qui se révélera être vérolée, ouverture d’un formulaire invitant l’utilisateur à renseigner son mot de passe, etc.

Crédit photo : Morrowind – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago