Black Hat : JavaScript et les flux RSS et Atom

Durant la conférence Black Hat, Bob Auger, un ingénieur en sécurité de la société SPI Dynamics, a démontré qu'il suffisait d'insérer un bout de code en JavaScript dans un contenu utilisant le format RSS (Really Simple Syndication) ou Atom, et ce, afin de lancer une attaque informatique.

Le problème

A l'aide d'un lecteur approprié, n'importe qui peut consulter le contenu d'un site diffusant un de ces flux, et ce sans avoir à visiter ce dernier. Le problème est que ces logiciels, de par leur conception, laisseraient s'exécuter, la plupart du temps, n'importe quel bout de code JavaScript intégré dans le flux. Or, ce langage attire de plus en plus la curiosité des experts, qui voient en lui un gros risque pour la sécurité des machines (voir « Détail d'une attaque avec JavaScript »). SPI indique qu'il est alors possible à un utilisateur malintentionné d'insérer un code malicieux dans un blog et d'inciter l'utilisateur à souscrire au flux RSS associé. De plus, les commentaires de ces blogs, désormais associés à des flux RSS / Atom, peuvent être utilisés pour diffuser du code. D'ailleurs, outre-Atlantique, des flux RSS sont utilisés afin de diffuser de la publicité contenant du code JavaScript.

La parade

Le problème vient donc du fait que les lecteurs RSS exécutent les scripts JavaScript contenus dans les flux RSS ou Atom. Par ailleurs, même si certains utilisent le moteur d'Internet Explorer, ils n'utilisent pas ses fonctions de sécurité. Dès lors, il est recommandé d'utiliser un lecteur « sûr », mais Auger ne précise pas lesquels le sont, ni lesquels ne le sont pas. Il indique toutefois qu'il a contacté les éditeurs concernés, et ces derniers devraient prendre les mesures qui s'imposent.