Averti à la mi-décembre de l’existence, sur sa plate-forme e-commerce, d’une faille de sécurité exposant potentiellement plus de 150 millions d’utilisateurs actifs, eBay n’a toujours pas appliqué de correctif.
Check Point, qui a mis le doigt sur cette vulnérabilité aujourd’hui objet d’alertes croisées, souligne que le groupe américain n’a « pas prévu » de remédier à la vulnérabilité, comme il le lui a fait savoir dans une communication du 16 janvier.
Alors, c’est grave, docteur ?
Conçue pour contourner les processus de validation de code mis en place par eBay, la faille est assez impressionnante sur le plan technique. Elle s’appuie en l’occurrence sur JSFuck, présenté par son fondateur Martin Kleppe comme « un style de programmation ésotérique et éducatif ».
Sa particularité : il n’exploite que 6 caractères pour contourner les processus de nettoyage des principaux systèmes de détection d’intrusions et d’activités malveillantes.
Les crochets ouverts et fermants (« [ » et « ] ») permettent d’accéder à des éléments de tableau et à des propriétés d’objets, mais aussi d’obtenir des nombres et les convertir en chaînes de caractère.
Les parenthèses ( « ( » et « ) ») servent à appeler des fonctions et à éviter des erreurs d’analyse. Le « + » et le « – » sont quant à eux exploitables pour ajouter des éléments à des chaînes de caractères, tout en additionnant en en convertissant des éléments en nombres. Quant au point d’exclamation ( « ! »), il crée des valeurs booléennes.
Un petit exemple : « +[] » produit la valeur 0 (zéro), car on demande la première valeur d’une liste vide.
Pour la conversion en valeurs booléennes : « ![] » produit « faux » ; « !![] » produit « vrai ». En convertissant « vrai » en nombre entier avec la commande « +!![] », on obtient la valeur 1. Si on souhaite obtenir une chaîne de caractères, on ajoute « +[] ». Cela donne, dans le cas présent, « +!![]+[] ».
Pour avoir une idée de ce à quoi ressemble un entier ainsi représenté, voici le nombre 123 : « +((+!![]+[])+(!+[]+!![])+(!+[]+!![]+!![]+[])) » (plus de détails dans le répertoire GitHub de JSFuck).
En théorie, le système de filtrage de balises HTML mis en place par eBay empêche l’intégration de scripts ou d’iframes. Sauf que les 6 caractères utilisés avec JSFuck passent à travers les mailles du filet, car aucun d’eux n’est de type alphanumérique.
Qu’est-ce que cela signifie ? Qu’un tiers peut, dans n’importe quelle annonce, insérer du code malveillant qui déclenchera diverses actions : téléchargement d’une application qui se révélera être vérolée, ouverture d’un formulaire invitant l’utilisateur à renseigner son mot de passe, etc.
Crédit photo : Morrowind – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…