Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Capture de texte caché sous Windows ; risques et parades

Date :27 Juillet 2005

Publication: Article

Capture de texte caché sous Windows ; risques et parades

Les risques
Lorsque vous saisissez un "texte caché" sous Windows (un texte qui est remplacé lors de la saisie par des astérisques "*"), il existe des possibilités de visualiser ce texte caché, par le biais de programmes écrits pour cela ; de tels programmes ont déjà circulé sur Internet et leur dissimulation dans des chevaux de Troie est un risque qui n'est pas que théorique.
Les tests
Les tests qui ont été menés dans un environnement Windows-NT ont montré que tous les programmes proposant ce type de fenêtre (fenêtres de connexion à un service RAS par exemple) étaient vulnérables à ce type d'attaque. Par contre un essai avec le plugin PGP d'Outlook a montré que le produit n'était pas vulnérable (les caractères de la passphrase sont masqués par des espaces et non par des astérisques).
Les essais avec Windows 95 et Windows 98 ont eux aussi été concluants ; en première approche, Windows 2000 semble avoir éliminé la faiblesse utilisée par la vulnérabilité sur ce type de fenêtre.
Les tests ont montré que la vulnérabilité n'était pas liée au "stockage de mots de passe" (proposés par certaines fenêtres de connexion) ; ce stockage en local a lui-même ses propres vulnérabilités, et il est recommandé de ne pas utiliser cette fonctionnalité.
Les parades
Les seules parades imaginables contre ce type de vulnérabilité sont un contrôle d'intégrité strict qui permette de se protéger contre le "dépôt" de chevaux de Troie. Le Cert-IST proposera, au titre de nouvelles études, une mise en œuvre d'outils d'intégrité, pour la protection contre de telles menaces.
Lors de développements sous Windows, si l'application développée s'appuie sur les fonctionnalités de fenêtrage et fait de l'authentification avec "texte caché", il faut veiller à ne pas utiliser les attributs qui sont à la source de la vulnérabilité.
Source
L'information ci-dessus nous a été communiquée par le Département Sécurité d'Alcatel TITN Answare.