markrubens - Fotolia
Les points d’accès Wi-Fi publics : toujours plus risqués
Les mécanismes de découverte automatique de serveurs mandataires permettent d’intercepter des données potentiellement sensibles. Un risque en cas d’opérateur de hotspot malveillant… ou compromis.
Amit Klein et Itzik Kotler, co-fondateur de SafeBreach, vont profiter de l’édition américaine de la conférence BlackHat, qui se déroule actuellement à Las Vegas, pour présenter leurs travaux montrant comment les mécanismes de découverte de serveurs mandataires peuvent être utilisés pour intercepter des communications sécurisées en https sur des réseaux Wi-Fi publics.
Dans le résumé de leur présentation, les deux chercheurs expliquent ainsi que « en forcer votre navigateur/système à utiliser une ressource d’auto-configuration de proxy – un fichier PAC – malicieuse, il est possible de faire fuiter les URLs HTTPS ». Une fuite susceptible d’affecter la vie privée de l’utilisateur, mais également de conduire au vol « d’identifiants et de sessions ». Plus loin, Amit Klein et Itzik Kotler prévoient de présenter un concept de logiciel malveillant « implémenté en javascript dans une ressource PAC » et qui doit permettre d’établir une communication bidirectionnelle « entre le logiciel malveillant et un serveur externe », mais également d’opérer du hameçonnage « contextuel via des messages », ou encore extraire « des données sensibles d’URI ».
Cette vulnérabilité s’appuie en fait sur le protocole WPAD qui permet aux navigateurs et systèmes d’exploitation d’assurer la découverte automatique des ressources de configuration de serveurs mandataires. Et justement, Maxim Goncharov, analyste chez Trend Micro, doit se pencher sur son détournement à l’occasion de la conférence BlackHat.
Dans un billet de blog, Sebastiàn Peyrott, de Auth0, apporte son éclairage sur ces présentations à venir. Il souligne que les fichiers PAC décrivent, en JavaScript, une unique fonction « appelée par l’application à chaque fois qu’une nouvelle connexion à un hôte doit être établie ». De quoi intercepter les appels à des URIs pour indiquer quel serveur mandataire utiliser, ou pas. Le protocole WPAD permet d’orienter le navigateur vers le fichier PAC, à l’occasion d’une requête DNS, voire DHCP pour Internet Explorer.
Sebastiàn Peyrott relève que Microsoft a mis en place des dispositifs de protection dans IE 11 et Edge, empêchant de passer l’URL complet à la fonction FindProxyForURL décrite dans le fichier PAC. « Mais certains navigateurs continuent de transférer l’URL complet » à celle-ci. Dès lors, il apparaît préférable de désactiver WPAD. Et d’expliquer comment procéder sous macOS, mais également Windows et Linux.