Pour gérer vos consentements :

Faille de sécurité sur eBay : tant qu’il y aura JSFuck

Averti à la mi-décembre de l’existence, sur sa plate-forme e-commerce, d’une faille de sécurité exposant potentiellement plus de 150 millions d’utilisateurs actifs, eBay n’a toujours pas appliqué de correctif.

Check Point, qui a mis le doigt sur cette vulnérabilité aujourd’hui objet d’alertes croisées, souligne que le groupe américain n’a « pas prévu » de remédier à la vulnérabilité, comme il le lui a fait savoir dans une communication du 16 janvier.

Alors, c’est grave, docteur ?

Conçue pour contourner les processus de validation de code mis en place par eBay, la faille est assez impressionnante sur le plan technique. Elle s’appuie en l’occurrence sur JSFuck, présenté par son fondateur Martin Kleppe comme « un style de programmation ésotérique et éducatif ».

Sa particularité : il n’exploite que 6 caractères pour contourner les processus de nettoyage des principaux systèmes de détection d’intrusions et d’activités malveillantes.

Les crochets ouverts et fermants (« [ » et « ] ») permettent d’accéder à des éléments de tableau et à des propriétés d’objets, mais aussi d’obtenir des nombres et les convertir en chaînes de caractère.

Les parenthèses ( « ( » et « ) ») servent à appeler des fonctions et à éviter des erreurs d’analyse. Le « + » et le « – » sont quant à eux exploitables pour ajouter des éléments à des chaînes de caractères, tout en additionnant en en convertissant des éléments en nombres. Quant au point d’exclamation ( « ! »), il crée des valeurs booléennes.

Un petit exemple : « +[] » produit la valeur 0 (zéro), car on demande la première valeur d’une liste vide.

« What the JSF*** ? »

Pour la conversion en valeurs booléennes : « ![] » produit « faux » ; « !![] » produit « vrai ». En convertissant « vrai » en nombre entier avec la commande « +!![] », on obtient la valeur 1. Si on souhaite obtenir une chaîne de caractères, on ajoute « +[] ». Cela donne, dans le cas présent, « +!![]+[] ».

Pour avoir une idée de ce à quoi ressemble un entier ainsi représenté, voici le nombre 123 : « +((+!![]+[])+(!+[]+!![])+(!+[]+!![]+!![]+[])) » (plus de détails dans le répertoire GitHub de JSFuck).

En théorie, le système de filtrage de balises HTML mis en place par eBay empêche l’intégration de scripts ou d’iframes. Sauf que les 6 caractères utilisés avec JSFuck passent à travers les mailles du filet, car aucun d’eux n’est de type alphanumérique.

Qu’est-ce que cela signifie ? Qu’un tiers peut, dans n’importe quelle annonce, insérer du code malveillant qui déclenchera diverses actions : téléchargement d’une application qui se révélera être vérolée, ouverture d’un formulaire invitant l’utilisateur à renseigner son mot de passe, etc.

Crédit photo : Morrowind – Shutterstock.com

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

2 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

7 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago