Les fichiers graphiques vectoriels SVG, initialement conçus pour améliorer l’expérience visuelle sur le web, sont désormais détournés par les pirates informatiques pour mener à bien certaines attaques. Une technique qui déjoue les systèmes de défense traditionnels et inquiète certains experts en cybersécurité.
Sur la capture d’écran on voit bien que ce n’est pas un écran de connexion traditionnel d’où l’importance de la vigilance (mais ça c’est clairement pas gagné pour 99% des gens…) et de la personnalisation du fond des écrans de connexion avec une image corporate de sa société pour Office 365 (personnalisable via les options administrateurs Office 365)
Le SVG n’apporte rien de plus qu’un fichier HTML. Si vulnérabilité il y a, c’est dans le navigateur qu’elle est. Des éléments de formulaires dans un SVG ne font rien sans un navigateur pour les soumettre. Le javascript d’un SVG ne fait rien sans un navigateur pour l’exécuter.
En gros, il n’y a rien de spécial ou de nouveau ici. Il y a toujours eu des problèmes de XSS dans les navigateurs quelque soit le format du DOM choisi. J’ai plus l’impression que c’est la boite de détection de ces cas (genre Antimalware ou antivirus) qui échoue simplement à faire la part des choses.
DOM ?? @xryl
Hop : Dom Browser
En tant que dev, jusqu’à maintenant l’habitude est de vérifier ton code HTML/JS voir si un truc louche s’y présente. On fait plutôt confiance à une « simple » image