l´occasion de la derniere conférence Blue hat de Microsoft qui a eut lieue du 16 au 17 Octobre dernier Gareth Heyes et deux amis à lui ont démontré l´impact des attaques css sur le navigateur. Cette fois ci , css signifie bel et bien cascade style sheet. Cette attaque est appelée clickjacking (détournement de clics) permet de détourné un bouton situé sur un site ciblé en l'appelant sur son serveur et le dissimulant derriere une autre page dite "ghost page " (page fantôme). Le 21 Octobre la preuve de concept concernant le clickjacking gmail a été publiée sur le blog (http://sirdarckcat.blogspot.com/) d'un des 3 informaticiens. "Cette attaque a été reportée à l'équipe chargé de la securité chez Google ce 27 septembre, et la réponse a été que la faille ne sera pas corrigée (...)".

Zoom sur la technique
Cette technique utilise du CSS (overlay) pour pouvoir placer le bouton malicieux n'importe ou sur la page malicieuse. Une fois le bouton de la page fantome dissimulée en arriere plan dans une iframe , la page en premier plan utilise une position absolue(absolute positioning) pour cacher le bouton importé de gmail, le contenu graphique de la page peut etre de n'importe quel nature.
Que faire pour palier cet attaque ?
La solution provisoire est d'utiliser le plugin firefox noscript (https://addons.mozilla.org/fr/firefox/addon/722) pour filtré les balises iframe malicieuses.

source :http://www.zataz.com/

a le noscript vraiment utile ,avec adblock plus aucune pub

Pour Google, il n'y a actuellement pas de vulnérabilité Gmail si ce n'est l'utilisateur victime d'une campagne de phishing.

Ce week-end, un billet publié sur le blog Geek Condition a fait planer un doute au sujet d'une vulnérabilité affectant le webmail Gmail de Google. Un attaquant distant pourrait ainsi à l'insu d'un utilisateur connecté à son compte Gmail, créer un filtre malveillant afin d'éventuellement rediriger son trafic mail. Pour Chris Evans, ingénieur en sécurité informatique chez Google, il n'y a aucune preuve d'une telle vulnérabilité, et de pointer de doigt une attaque de type phishing à laquelle certains utilisateurs se sont laissés prendre.

C'est sur la base de leurs témoignages que Google a mis à jour la prétendue vulnérabilité Gmail qui n'en est donc pas une. " Des attaquants envoient des mails personnalisés encourageant les détenteurs de domaines Web à visiter des sites frauduleux comme google-hosts.com qu'ils ont mis en place uniquement pour récupérer des noms d'utilisateurs et des mots de passe. Ces sites n'ont aucun lien avec Google et ceux que nous avons détectés sont désormais hors ligne. Une fois que les attaquants ont obtenu les informations d'identification de l'utilisateur, ils peuvent modifier les comptes concernés comme ils le souhaitent. Dans le cas présent, l'attaquant configure des filtres servant à rediriger les messages ".

Evans en profite également pour signaler qu'en décembre 2007, des vols de domaines ont été imputés à une vulnérabilité de type Cross-site request forgery (CSRF) dans Gmail. Ce genre de vulnérabilité consiste à utiliser un site tiers spécialement conçu, pour mener une action sur un site de confiance où l'utilisateur s'est connecté avec ses droits. Selon Evans, Gmail a effectivement été affecté par une telle vulnérabilité mais en septembre 2007, et cette dernière a été comblée en moins de 24 heures.

Evans cherche donc à réhabiliter Gmail, à ses yeux trop souvent victime de rumeurs dans le domaine de la sécurité informatique. Evidemment conscient de l'exigence dont doit faire preuve Google à ce niveau, Gmail étant parfois utilisé dans un cadre professionnel, il souligne la responsabilité des utilisateurs et leur recommande de ne saisir leurs identifiants Gmail que pour des adresses Web commençant par https://www.google.com/accounts, de ne jamais cliquer sur des avertissements s'affichant à l'écran à propos des certificats.

Rappelons par ailleurs que depuis cet été, dans les " Paramètres ", onglet " Général ", de Gmail, il est possible de forcer la connexion au navigateur en n'utilisant que le protocole https.

source http://www.generation-nt.com

Merci pour l'info ;)