Inquiétante faille de sécurité dans l'environnement Kindle

Nicolas Gary - 15.09.2014

Lecture numérique - Usages - faille sécurité - livres numériques - Kindle internet


Le risque du hacking est omniprésent dans le monde numérique. Et si Windows fut le système informatique le plus sujet aux vers, virus, chevaux de Troie et autres logiciels malveillants, c'est que cet OS est le plus répandu sur la planète. Les possibilités de retombées financières pour les vilains hackers sont donc plus importantes. Logique, dans ce contexte, que l'on découvre une faille de sécurité exploitée, chez Amazon, premier vendeur d'ebooks au monde ! 

 

 

 

 

Pour les utilisateurs, tout est très simple avec l'environnement Kindle. Quand on vit dans un monde propriétaire, il suffit de se laisser emporter. Jusqu'au jour où c'est une faille de sécurité qui emporte à son tour les données de l'utilisateur. Tout client du service Kindle dispose d'une bibliothèque, Manage Your Content and Devices et Manage your Kindle. Selon le site B.FL7.DE, une vulnérabilité particulièrement préoccupante s'en retrouve. 

 

Il suffirait d'une attaque XSS pour injecter un code malveillant, lequel proviendrait des métadonnées d'un livre numérique – comme son titre, par exemple. Ce type de faille de sécurité permet de provoquer des actions sur les navigateurs qui visitent une page. Et avec la technologie HTML5 permet de rediriger un site pour l'hameçonnage ou encore dérober des cookies. 

 

Un hacker (un vrai vilain...) peut arriver avec un simple code ajouté à la bibliothèque de la victime, à transférer les données personnelles. Concrètement, une URL maligne est ajoutée à une des métadonnées et dès que l'on se rend sur la page Amazon Kindle, pour gérer son fichier, l'utilisateur peut être renvoyé vers une page frauduleuse. Ce qui signifie que les livres contrefaits que l'on trouve sur les réseaux traditionnels peuvent facilement contenir ladite faille de sécurité, et qu'en cas de téléchargement, lancer le code qu'ils contiennent.

 

Or, problème : la faille a été dévoilée fin octobre 2013, et à ce jour, Amazon n'a toujours pas donné de précisions, et la faille est donc rendue publique. Le site propose également un Proof of Concept, pour démontrer la réalité de la faille. 

 

 

 

Depuis novembre 2013 que le développeur a signalé cette faille à Amazon, très confidentiellement, aucune réaction n'est intervenue, et, à mesure que les lecteurs s'accumulent, la faille de sécurité est de plus en plus menaçante. Un véritable manquement, de la part du plus grand libraire numérique au monde, alors que l'éditeur du logiciel Calibre a corrigé très rapidement la question. 

 

Amazon avait corrigé, dans un premier temps, ce problème de sécurité, fin décembre 2013, mais il est réapparu dans le courant de l'année, et maintenant, est ouvert aux publics. Et aux pirates...