„Mon eBay“ mise à nu – La faille eBay-XSS
et son exploit (démonstration) grâce un
applet flash

Geändert am 13.03.2008
Des escrocs peuvent accéder aux identifiants des membres ebay grâce à une faille de sécurité. Le simple fait d´ouvrir une page d´enchère sur eBay suffit, un visiteur qui, préalablement logué sur le site eBay, n´a même besoin de cliquer sur un lien dans l´annonce. Pendant qu´il regarde l´annonce, ses identifiants: nom prénom, adresse privée, adresse courriel et bien d´autres informations sont directement transmises aux criminels.
Comment cela fonctionne? Voici la démonstration avec une enchère typique:
En insérant un appel à un applet flash dans le descriptif de l´annonce, il est possible par le biais du Cross-Site-Scripting d´avoir un aperçu de toutes les données dans „mon ebay“, alors qu´elles ne devraient être accessible expressément qu´au titulaire du compte.

  Un „mon ebay“ fictif.

Outre les données privées, on peut aussi voir les dernières activités, couronnée de succès ou non ainsi que la liste des objets suivis. De même qu´il est possible de lire les messages privés dans „mes message“ !
Ainsi dans „mon ebay“ nous trouverons les données suivantes:
  • Nom et adresse complète
  • L´adresse mail
  • Les coordonnées bancaires (en partie cachées)
  • Les données de la carte de crédit (en partie cachées)
  • La question secrète
  • La liste des objets suivis
  • La liste des objets sur lesquels on a enchéri
  • La liste des objets achetés
  • La liste des ventes en cours
  • La „messagerie – eBay“ au complet
Avec ces informations sensibles, les escroc sont à même de faire parvenir aux victimes inconscientes de fausses offres de ventes, par exemple les fausse offres de la seconde chance déjà couramment pratiquées sur les site. Ainsi une offre équipée de toutes ces identifiants réels augmentera la crédulité de la victime quant à la crédibilité d´une telle offre.
La faille de sécurité Cross-Site–Scripting facilite aussi l´hameçonnage. En manipulant certains des éléments précis de la page d´enchère, il est possible de soumettre à la victime une fausse page de login (ouvrir une session) le mot de passe saisi sera envoyé instantanément aux truands. Cette tromperie fonctionne d´autant mieux qu´elle ne nécessite aucun renvoi sur une page externe (phishing classique): Il suffit d´insérer le faux formulaire directement dans la page d´enchère alors que la victime se trouve visuellement toujours sur une page ebay.

Le Javascript et XSS

N´importe quel membre d´eBay peut être victime de cette faille, il lui suffit:
  • d´avoir préalablement ouvert une session sur le site eBay
  • d´avoir installé un plugin Flash sur son pc
  • d´autoriser le JavaScript sur son Navigateur.
Dans le test, il fut possible de capturer les données sans que le membre s´en aperçoive. Ce „regard“ dans la sphère privée de „mon ebay“ fonctionne de la manière suivante:
L´escroc met une page d´enchère sur un article fréquemment recherché. Dans cette page il insère l´appel à une animation Flash spécialement préparée.
Un ebayeur, qui s´est préalablement identifié sur le site, ouvre cette page et son navigateur télécharge le code Flash de l´escroc. Celui-ci contient un code JavaScript qui renvoie les cookies-eBay du navigateur de l´ebayeur à l´escroc.
L´infiltration de codes étrangers est connue depuis bien des années sous le nom de Cross-Site-Scripting (XSS). Puisque le fichier flash est exécuté sur le pc du spectateur, il n´est pas possible à eBay de contrôler dans la mise en page et les modifications ultérieures si des fonction JavaScript interdite y sont implantées.
L´ebayeur peut se protéger en désactivant toute fonction JavaScript dans son Navigateur mais alors il restreindra sensiblement l´utilisation usuelle des pages eBay, puisque ces fonctions JavaScript, incorporées de façon permanente, et primordiales pour la navigation sur le site eBay ne pourront plus être utilisées.

XSS : Une faille de sécurité avec une longue histoire

Déjà en 2004, des articles dans les médias allemands tels que PC-Welt et Spiegel dénonçaient, clairement avec preuve à l´appui, le problème de sécurité dans l´utilisation du JavaScript. Si bien qu´eBay se voyait contraint en 2004 de réagir. Jusqu`alors, eBay considérait l´usage du JavaScript dans les pages de ses clients (vendeurs) comme »une faille de sécurité purement théorique«.
Le virement ce fit le 1 octobre 2004:
eBay laissa entendre que ce problème était déjà connu depuis longtemps et sortit »...une version modifiée du règlement d´utilisation du langage script dans les annonces de ventes.«; ainsi l´usage de cookies, les revois sur d´autre sites de ventes, l´injection de script et les Pop-ups étaient dés lors interdits.
Par contre l´usage de Flash permettent d´incorporer des contenus externes était expressément exclu de cette interdiction. À l´époque on pouvait lire dans un article de Heise: »depuis longtemps déjà il est reconnu dans le monde des développeurs et prestataires web que par exemple XSS, à cause du manque de code de filtrage,est une faille de sécurité pour les serveurs et applications web. Les agresseurs infiltrent du JavaScript dans les navigateurs des victimes, l´exécutent dans des environnements dits de confiance pour y acquérir les cookies d´authentification. Bien que dans ce cas, l´agresseur doit utiliser tout son savoir faire. Par contre sur eBay, on lui offre les outils sur un plateau d´argent«

L´utilisation de ces tentatives d´escroqueries est documentée

Les escrocs maîtrisent parfaitement ces techniques de javascript et d´XSS, ils utilisent depuis bien longtemps dans les descriptifs d´articles bidons les codes flash dangereux. Ce problème devrait être connu des responsables d´eBay, car depuis plus d´une année des membres de »falle-interne.de« signalent ce type de ventes à la plateforme d´enchères.
La variété de ces manipulations d´enchères répertoriées avec usage d´un applet flash a pris un essor considérable: telle cette manipulation qui permet à l´escroc de changer à sa guise ,en ligne, les commentaires et indications des descriptifs dans une enchère directement sur le pc de l´internaute.
Ainsi dans les enchères en cours, il change le type d´enchère, le montant ou les évaluations du vendeur. En particulier, il est a remarquer la prolifération d´un applet qui ouvre directement, après un clic sur la page descriptive, le programme de messagerie sur le pc de l´intéressé.

  

Dans le cas ci-dessus, l´adresse mail de l´escroc et l´objet du message sont déjà incorporés, il incite ainsi la victime à prendre contact avec lui:

  

Si l´on suit la trace, on reconnaît la préparation de l´escroquerie par l´utilisation d´insertion d´applet flash:

  

Une autre forme de manipulation, remarquée à plusieurs reprises, est celle du bouton »enchérir«.Si l´intéressé veut mettre une enchère, il est renvoyé sur un site externe de faux login, et remet son mot de passe directement à l´escroc.
Pour appâter un grand nombre de victimes, l´escroc utilisera des mises en pages alléchantes ou choisira un article à la mode.
En ouvrant la page de l´article convoité, la victime est directement renvoyé sur un faux site de login:

  

Le pseudo et le mot de passe sont directement recueillis par l´escroc collecteur.

  


En moins de quelques heures plus d´une centaine de mots de passe seront piratés.

La preuve faite par „falle-internet.de“

»falle-internet.de« estime qu´il est opportun et nécessaire d´informer le public sur ces dangers, après plus de trois mois sans réaction aux informations données et plus d´une année que la faille est connue et utilisée par les escrocs. Une recherche intensive sur les techniques qu´utilisent les escrocs à leur fins en déjouant facilement les mesures de sécurité lamentable d´eBay, a permis à »falle-internet.de« de faire une démonstration pratique de l´exploit eBay-XSS-Flash dans des conditions réelles:
Des participants volontaires ont pu en contrôler par eux même l´effet et les résultats après la visite de la page, ils ont réalisé que leur identifiants dans „mon eBay“ étaient accessible à des tièrs.
Après avoir informé eBay du test en cours, falle-internet.de a reçu de la part du Directeur de la section eBay »Law Enforcement Affairs« un courriel considéré comme une menace contre les membres de »falle-internet.de« dont le contenu faisait référence à l´article de loi §202c StGB le „paragraphe anti-hacker“ (code pénal allemand).
Bien que le danger encouru du fait du XSS soit connu depuis des années, au début du mois de Décembre 2007, »falle-internet.de« porta à la connaissance de la section d´eBay »Law Enforcement Affairs« sur les différentes failles et des solutions. Vers la mi-Décembre la section d´eBay »Trust & Safety«. Fut à nouveau informée sur les risques pour les usagers du site, jusqu´à aujourd´hui aucune contre-mesure efficace n´a été mise en place par d´eBay.
Nos Recommandations
Jusqu´à la suppression de cette faille, nous recommandons aux usagers de ne pas utiliser les applets flash et JavaScript sur leur navigateur lorsqu´ils visitent les pages d´enchères d´eBay. Par exemple en utilisant le navigateur Mozilla Firefox avec l´extention NoScript ou pour Internet Explorer faire les paramétrages adéquats.


ZUM SEITENANFANG