{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Internet Information Server 4.0 et 5.0</P>","content":"## Description\n\nHTTP est un protocole fonctionnant en mode d\u00e9connect\u00e9. Pour simuler une\nsession, ou pr\u00e9server des pr\u00e9f\u00e9rences enregistr\u00e9es lors d'une navigation\nsur un site afin de les r\u00e9utiliser ult\u00e9rieurement, on peut utiliser des\npetits fichiers textes appel\u00e9s \u00ab cookies \u00bb dans lesquels sont\nenregistr\u00e9es des informations n\u00e9cessaires \u00e0 l'identification de la\nsession entre un serveur web et un navigateur client. Les cookies\npermettent notamment de cr\u00e9er un contexte de \u00ab session \u00bb lors d'une\nnavigation sur un site web.\n\nAu cours d'une session de navigation en mode s\u00e9curis\u00e9, il se peut que le\nclient et le serveur \u00e9changent des cookies chiffr\u00e9s. Malheureusement les\npages \u00e9crites au format .ASP g\u00e8rent mal les sessions identifi\u00e9es par des\ncookies. Lorsqu'un utilisateur navigue en mode s\u00e9curis\u00e9 sur un site, et\nlorsque le serveur cr\u00e9e une ouverture de session en envoyant des cookies\nchiffr\u00e9s au navigateur client, si cet utilisateur est amen\u00e9 par la suite\n\u00e0 naviguer sur le m\u00eame site en mode normal, les m\u00eames cookies seront\nalors \u00e9chang\u00e9s en clair.\n\nCela permet \u00e0 un utilisateur mal intentionn\u00e9 qui ma\u00eetrise le r\u00e9seau\nsitu\u00e9 entre le navigateur client et le serveur, s'il r\u00e9ussi \u00e0 amener le\nclient \u00e0 naviguer sur le m\u00eame site en mode normal, de lire les cookies\net de les r\u00e9utiliser, en usurpant ainsi l'identit\u00e9 de sa victime, sur le\nsite s\u00e9curis\u00e9.\n\n## Contournement provisoire\n\nPour les clients : d\u00e9sactiver les cookies sauf dans les cas de\nn\u00e9cessit\u00e9.\n\n## Solution\n\nPour les serveurs : appliquer le correctif de Microsoft :\n\n-   Pour Internet Information 4.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ID=25233\n\n-   Pour Internet Information Server 5.0 :\n\n        http://www.microsoft.com/Downloads/Release.asp?ID=25232\n","cves":[],"links":[{"title":"La page de la CNIL concernant les cookies :","url":"http://www.cnil.fr/traces/comment/cooki.htm"},{"title":"Une RFC concernant HTTP et les cookies :","url":"http://www.ietf.org/rfc/rfc2109.txt"},{"title":"Le bulletin de s\u00e9curit\u00e9 Microsoft et sa FAQ :","url":"http://www.microsoft.com/technet/security/bulletin/ms00-080.asp"},{"title":"Le bulletin de s\u00e9curit\u00e9 Microsoft et sa FAQ :","url":"http://www.microsoft.com/technet/security/bulletin/fq00-080.asp"}],"reference":"CERTA-2000-AVI-064","revisions":[{"description":"version initiale.","revision_date":"2000-10-24T00:00:00.000000"}],"risks":[{"description":"Usurpation d'identit\u00e9"},{"description":"Vol d'informations confidentielles"}],"summary":"Les cookies \u00e9chang\u00e9s lors d'une session de navigation en mode s\u00e9curis\u00e9\n(HTTPS) sur un site sont \u00e9chang\u00e9s <span class=\"textit\">en clair</span>\npendant la m\u00eame session, lors d'une connexion au m\u00eame site en mode\nnormal (HTTP).\n","title":"Vol de cookies sous HTTPS avec les serveurs Microsoft Internet Information Server","vendor_advisories":[{"published_at":null,"title":"Bulletin de S\u00e9curit\u00e9 Microsoft","url":null}]}