Première publication le 25 mars 2004Simple et populaire, l’usage des
Webmails depuis Internet Explorer devient une pratique à risque. L’alerte a été lancée mardi 23 mars. Selon la société Greymagic, une fonction propre au navigateur de Microsoft
peut être détournée et donner à un pirate l’accès complet à la boîte aux lettres de sa victime et, dans certains cas, lui permettre d’exécuter des programmes sur son PC. Et tout ça, par l’intermédiaire d’un simple e-mail piégé !Pour la victime, l’attaque est invisible : c’est lorsqu’elle ouvre le courrier incriminé que cette dernière se déclenche. Un script, dissimulé dans le code HTML du message s’exécute, de manière automatique et à l’insu de
l’utilisateur. Et comme la méthode mise en ?”uvre pour camoufler le script est inédite, il y a de grandes chances pour que les filtres de sécurité mis en place par les webmails ne fonctionnent pas.
Des FAI français peu rassurants
D’après Greymagic, cette attaque a été testée avec succès sur Hotmail et Yahoo! Mail. Depuis, Microsoft et Yahoo! auraient pris les mesures nécessaires pour se protéger. Mais la menace concerne potentiellement la plupart des Webmails,
notamment ceux des fournisseurs d’accès à Internet, Free, Tiscali, Wanadoo…Interrogés à ce sujet, ils n’ont pas su nous répondre, la plupart ne semblant même pas au courant de cette vulnérabilité. Seul Club-Internet a été en mesure de nous rassurer : ‘ Nos équipes de sécurité ont
mis en place un patch pour supprimer tous les appels en langage XML, ce qui permet de se prémunir contre de telles attaques ‘, explique un porte-parole.
Une seule parade infaillible : changer de navigateur
Techniquement, cette attaque est exploitable uniquement si la victime utilise le navigateur Internet Explorer (à partir de la version 5.5) pour lire ses courriers sur un Webmail vulnérable. Elle repose sur un usage détournée du module
HTML+TIME, spécifique au navigateur de Microsoft, qui permet la synchronisation des contenus multimédias dans le code HTML.L’impact pour la victime est alors celui d’une attaque dite de cross-site scripting : le pirate peut lire ses cookies (dont ceux utilisés pour s’authentifier à des services en ligne) et ses
mots de passe, détourner des sessions Web en cours et disposer d’un accès complet à sa boîte aux lettres, ainsi qu’à son carnet d’adresses.Pour lheure, une seule parade semble infaillible en attendant que les fournisseurs de services se prononcent sur cette faille : préférer un autre navigateur à Internet Explorer pour la consultation de vos courriers.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
