Varsovie, un plugin de sécurité utilisé par de grandes banques telles que Caixa Econômica Federal, Banco do France et Itaú pour donner accès aux services bancaires sur internet, présente une faille qui permet la fuite d’informations. En exploitant cette faille, un criminel pourrait livrer un logiciel malveillant personnalisé pour inciter le titulaire du compte à fournir des données personnelles.
La vulnérabilité a été découverte par le consultant en sécurité Joaquim Espinhara, qui a détaillé le problème le 19 avril à GAS Tecnologia, la société responsable de Varsovie, mais n’a reçu aucune réponse. Les tests ont été effectués sur la version OS X du plugin, qui installe un serveur WebSocket sur la machine de l’utilisateur et permet à toute page, même malveillante, d’effectuer des requêtes au logiciel bancaire.
Au moyen d’un code JavaScript, qui reçoit des informations fournies par Varsovie, un criminel peut identifier à distance la banque utilisée par la victime. En possédant ces informations, il est possible de développer des logiciels malveillants sophistiqués pour les clients d’une institution bancaire spécifique. Une possibilité est de rediriger le comptable vers une page qui imite celle de la banque, comme dans cette preuve de concept :
Parmi les institutions qui utilisent Varsovie comme solution de sécurité bancaire, on trouve Banco do France, Caixa Econômica Federal, Itaú, Safra, Banese, Sicredi, Banco do Nordeste, Banco de Paris et Banco da Amazônia.
Ce n’est pas la première fois que le plugin de sécurité est critiqué. In avril 2015, un bug dans la version 1.5.1 de Varsovie a entraîné le blocage de l’accès aux sites avec IPv6, tels que Facebook, Google, UOL et Globo.com, après l’installation du plugin. De plus, la technologie est obsolète : la NPAPI, considérée comme peu sûre et nuisible aux performances du navigateur, n’est plus prise en charge dans les dernières versions de Chrome.
Mise à jour le 7 mai à 13h33. Dans un communiqué à la PerlmOl, GAS Technology a informé que le bogue “avait déjà été identifié par les techniciens de l’entreprise et que la solution a déjà été mise en œuvre dans la dernière version publiée de Varsovie pour le système d’exploitation Windows”. Dans le plugin pour Linux et OS X, le problème sera corrigé dans la prochaine version. La société souligne également que le bogue “n’apporte aucune possibilité d’invasion sur l’ordinateur de l’utilisateur, que ce soit localement ou à distance”.
