Première publication le 17 décembre 2003

Une faille présente dans les navigateurs Internet Explorer et Mozilla permet d'amener les internautes vers un site Web, à leur insu, en maquillant son adresse réelle. Une aubaine pour les escrocs.

Une nouvelle vulnérabilité touche Internet Explorer et, dans une moindre mesure, Mozilla. Elle permet de maquiller un lien présent dans une page Web en remplaçant son adresse réelle par une autre adresse. Il est ainsi possible d'amener un internaute, à son insu, sur un autre site que celui sur lequel il voulait aller.

En temps normal, les navigateurs affichent dans leur barre d'état (en bas de la fenêtre de navigation), l'adresse du lien survolé par le curseur de la souris. L'internaute sait ainsi où il se dirigera s'il clique sur ce lien. En exploitant cette nouvelle faille, il est possible de forcer les navigateurs à afficher non pas l'adresse réelle, celle où l'utilisateur sera redirigé, mais une autre adresse, susceptible d'inspirer confiance aux internautes.

Cette faiblesse est d'autant plus dangereuse qu'elle est très simple à mettre en oeuvre : il suffit d'utiliser le code « %00 » dans la construction du lien. Elle touche Internet Explorer et Mozilla et il n'existe aucun moyen de s'en protéger, sinon d'analyser attentivement le contenu de chaque lien à partir du code source des pages Web. Une opération impraticable au quotidien.

Mais il y a pire : en utilisant un second code très similaire (« %01 »), placé dans l'adresse du site visité, il est possible de forcer Internet Explorer à afficher n'importe quelle adresse dans sa barre d'URL, en dépit de l'adresse réelle de la page. Il s'agit bien cette fois-ci de celle située en haut de l'écran et qui indique normalement l'adresse du site visité.

Avec Internet Explorer, ces deux failles permettent de mener une attaque d'usurpation imparable : un lien envoyé à l'internaute permet, par exemple, de le diriger vers une page de mise à jour de ses informations sur le site de sa banque en ligne. Sa barre d'état lui indique en effet que le lien l'y conduira effectivement. Et une fois sur place, son navigateur affichera, dans sa barre d'adresse, qu'il se trouve bien sur le site de sa banque... alors que dans les deux cas les liens étaient faux et qu'il s'agit d'une manipulation.

Face à cette seconde vulnérabilité, il n'existe guère de parades non plus. Microsoft conseille, pour valider l'adresse d'une page sur laquelle on se trouve, d'en faire un copier-coller dans le bloc-notes (ce qui révélera les codes « %00 » et « %01 ») ou bien de copier une chaîne de caractères spécifiques* dans la barre d'adresse et de valider. Mais, là encore, il ne s'agit pas d'une méthode viable au quotidien.

Pour l'heure, les risques d'escroquerie demeurent donc élevés, particulièrement pour les utilisateurs d'Internet Explorer, vulnérables en cas d'attaque combinée. Aucun correctif n'est encore annoncé. « Le dernier correctif d'Internet Explorer ne règle pas le problème. Il faut donc se méfier des propositions qui invitent à se rendre sur un site commercial en suivant un lien fourni. Le plus simple est de n'utiliser que les bookmarks que l'on a enregistrés soi-même » , conclut Aurore Seebaluck, responsable du pôle sécurité d'Euriware, spécialiste de l'infogérance.

* javascript:alert("The real URL is: " + location.protocol + "//" + location.hostname + "/" + "\nThe address URL is: " + location.href + "\n" + "If the server names do not match, this may be a spoof.");