Internet Explorer contient une brèche béante. Si vous utilisez ce navigateur de Microsoft, mieux vaut arrêter de surfer de ci de là sur internet ou de cliquer sur des liens dans des courriels. Par contre, la visite de sites web connus ne poserait pas de problème.
Internet Explorer (IE) semble contenir une faille qui ouvre toute grande la porte aux attaques de ‘phishing’ (hameçonnage). Cette faille concerne IE11. L’on ne sait cependant pas si les versions plus anciennes sont aussi vulnérables.
Des pirates peuvent introduire subrepticement des pages à eux
Le phishing serait possible du fait qu’IE autorise involontairement le ‘cross-site scripting’. Des pirates peuvent ainsi contourner la stratégie ‘same-origin’ du navigateur, ce qui leur permet d’introduire subrepticement des pages à eux sur des sites web d’apparence légitime. Le code requis dans ce but est extrêmement simple.
La faille a été découverte par le chercheur David Leo de l’entreprise de sécurité Deusen. Il a attiré l’attention sur le site web Seclist.org. Via ce site, il est possible de voir un ‘proof of concept’ avec le site web du Daily Mail. Mais un pirate pourrait également renseigner un site web d’une banque et présenter au visiteur par exemple un formulaire de changement de ses données bancaires.
La faille confirmée par Microsoft
Le comble, c’est que les exploitants de sites web peuvent protéger aisément leurs visiteurs contre ce type d’attaque en reprenant dans leurs pages web l’en-tête X-Frame-Options avec comme valeur ‘deny’ ou ‘same-origin’ (dans ce cas, le site web empêche que du contenu extérieur s’affiche sous son nom), mais tous les sites web – et de loin – ne le font pas.
Microsoft a confirmé l’existence de la faille. Selon l’entreprise, il n’y a cependant pas encore de preuve d’un abus actif. L’on ne sait pas encore quand la brèche sera comblée.
Source: Automatiseringgids
