Cette semaine s'est tenue à Las Vegas la conférence Black Hat, rendez-vous mondial du gratin de la sécurité informatique. Les éditeurs y côtoient les hackers repentis, les développeurs de logiciels, les étudiants géniaux et les chercheurs du monde entier, et tout ce petit monde s'affaire à découvrir puis, parfois, combler les failles de sécurité qui hantent logiciels, protocoles réseau et autres modes de communication sans fil.
Cette semaine a notamment vu la brillante démonstration, par deux chercheurs américains, des vulnérabilités inhérentes à la gestion des connexions sans fil sur la plupart des systèmes d'exploitation. Le Wifi est donc bourré de failles et pour une fois, la faute n'incombe pas à Microsoft, habituelle cible de prédilection de tous ces experts (voir cet article : Blackhat, les vulnérabilités du Wifi en question).
Les flux RSS, symbole cher aux promoteurs de cette notion de plus en plus vaine de Web 2.0, ne sont pas épargnés. Robert Auger, ingénieur chez SPI Dynamics, a ainsi démontré lors de la Black Hat qu'il suffisait à un internaute malintentionné d'injecter un pan de code Javascript dans un commentaire posté sur un blog, pour que le flux RSS des commentaires en question deviennent vecteur d'une attaque informatique. La personne qui lit ce flux, que ce soit à l'aide d'un logiciel ou d'un lecteur de flux en ligne type Bloglines, devient la victime potentielle et s'expose, par exemple, au vol d'informations sensibles (mots de passe, etc.). Les attaquants pourraient également lancer leur propre blog pour diffuser leur code malicieux.
Parmi les lecteurs en ligne, Bloglines est vulnérable, indique Robert Auger, tandis que du côté des logiciels, RSS Reader, RSS Owl, Feed Demon, ou Sharp Reader le seraient. Il précise que la liste n'est pas exhaustive. Selon lui, la faute incomberait aux développeurs des applications concernées, qui n'auraient pas intégré à ces dernières les vérifications ou les protections nécessaires.
Plutôt gai, non ?
Derniers commentaires