(Mise à jour) Les Webmails menacés de vol de courrier

S'abonner :

Newsletters

Magazines

01men.

[ SÉCURITÉ ]
(Mise à jour) Les Webmails menacés de vol de courrier
Une fonction d'Internet Explorer ouvre la porte au vol de courrier à la seule lecture d'un message piégé. L'attaque a été testée sur Hotmail et Yahoo! mais elle pourrait s'appliquer aux Webmails des principaux fournisseurs d'accès.

Jérôme Saiz , 01net., le 26/03/2004 à 18h48

(Mise à jour) Wanadoo sécurise son Webmail

Avec un peu de retard, la filiale de France Télécom reconnaît la vulnérabilité de sa messagerie Web. Le FAI devait mettre en place une parade vendredi 26 mars à 17h30, restaurant ainsi la sécurité de son Webmail. « L'opération est totalement transparente pour nos abonnés », précise un porte-parole de Wanadoo.

Première publication le 25 mars 2004

Simple et populaire, l'usage des Webmails depuis Internet Explorer devient une pratique à risque. L'alerte a été lancée mardi 23 mars. Selon la société Greymagic, une fonction propre au navigateur de Microsoft peut être détournée et donner à un pirate l'accès complet à la boîte aux lettres de sa victime et, dans certains cas, lui permettre d'exécuter des programmes sur son PC. Et tout ça, par l'intermédiaire d'un simple e-mail piégé !

Pour la victime, l'attaque est invisible : c'est lorsqu'elle ouvre le courrier incriminé que cette dernière se déclenche. Un script, dissimulé dans le code HTML du message s'exécute, de manière automatique et à l'insu de l'utilisateur. Et comme la méthode mise en oeuvre pour camoufler le script est inédite, il y a de grandes chances pour que les filtres de sécurité mis en place par les webmails ne fonctionnent pas.

Des FAI français peu rassurants

D'après Greymagic, cette attaque a été testée avec succès sur Hotmail et Yahoo! Mail. Depuis, Microsoft et Yahoo! auraient pris les mesures nécessaires pour se protéger. Mais la menace concerne potentiellement la plupart des Webmails, notamment ceux des fournisseurs d'accès à Internet, Free, Tiscali, Wanadoo...

Interrogés à ce sujet, ils n'ont pas su nous répondre, la plupart ne semblant même pas au courant de cette vulnérabilité. Seul Club-Internet a été en mesure de nous rassurer : « Nos équipes de sécurité ont mis en place un patch pour supprimer tous les appels en langage XML, ce qui permet de se prémunir contre de telles attaques », explique un porte-parole.

Une seule parade infaillible : changer de navigateur

Techniquement, cette attaque est exploitable uniquement si la victime utilise le navigateur Internet Explorer (à partir de la version 5.5) pour lire ses courriers sur un Webmail vulnérable. Elle repose sur un usage détournée du module HTML+TIME, spécifique au navigateur de Microsoft, qui permet la synchronisation des contenus multimédias dans le code HTML.

L'impact pour la victime est alors celui d'une attaque dite de cross-site scripting : le pirate peut lire ses cookies (dont ceux utilisés pour s'authentifier à des services en ligne) et ses mots de passe, détourner des sessions Web en cours et disposer d'un accès complet à sa boîte aux lettres, ainsi qu'à son carnet d'adresses.

Pour l'heure, une seule parade semble infaillible en attendant que les fournisseurs de services se prononcent sur cette faille : préférer un autre navigateur à Internet Explorer pour la consultation de vos courriers.