C'est une attaque particulièrement sournoise qui a visé la semaine dernière les utilisateurs d'Internet Explorer. Elle aurait permis à un groupe de pirates de capturer mots de passe, identifiants et autres numéros de cartes bancaires à de nombreux internautes.

Chose rare, l'attaque se déclenchait alors que les victimes visitaient des sites Web très en vue - habituellement sûrs - tels que des moteurs de recherche, des sites d'établissements bancaires ou des comparateurs de prix. Et surtout, leur navigateur Internet Explorer était parfaitement à jour de ses correctifs de sécurité !

Les noms des sites Web impliqués - à leur insu - dans cette attaque sont restés confidentiels. En revanche, la méthode des pirates est aujourd'hui connue. Elle exploite d'une part une faille du serveur Web IIS 5.0, de Microsoft, corrigée par l'éditeur - mais que certains sites n'ont toujours pas colmatée -, et d'autre part deux vulnérabilités d'Internet Explorer.

Une fois introduits sur les serveurs Web compromis, les pirates y déposent un piège destiné à ses futurs visiteurs : un code Javascript malicieux envoyé à chaque internaute lorsqu'il consulte une page du site. Ce code, très simple, a pour but de rediriger subrepticement le navigateur des victimes vers un site Web basé en Russie. C'est là que la véritable attaque a lieu.

En exploitant deux failles d'Internet Explorer, ce site introduit sur le PC des internautes un cheval de Troie. C'est ce petit programme qui se charge de dérober les mots de passe avant de les transmettre aux pirates. La menace est d'autant plus dangereuse que ces deux failles touchant le navigateur de Microsoft n'ont pas été officiellement corrigées.

« L'une d'entre elle le sera avec le SP2 de Windows XP [disponible en version presque définitive sur le site de l'éditeur, NDLR]  », précise Bernard Ourghalian, directeur technique et sécurité de Microsoft France. L'éditeur affirme aussi travailler «  d'arrache-pied  » pour mettre à disposition des internautes un correctif avant la sortie définitive du Service Pack 2.

Pour la seconde faille, Bernard Ourghalian recommande d'interdire l'exécution du contrôle ActiveX concerné depuis la Base de registre. Une procédure délicate réservée aux utilisateurs confirmés et détaillée par Microsoft sur son site Web .

Dans l'immédiat, la menace semble s'éloigner. Avec l'aide des fournisseurs d'accès impliqués et de Microsoft, les autorités ont en effet obtenu la fermeture du site web russe. Mais les spécialistes craignent que la méthode donne des idées à de nombreux pirates à travers le monde.

Déjà enflent des rumeurs sur les forums de discussion à propos d'un nouveau cheval de Troie actuellement distribué selon la même technique. Dans cette éventualité, la méthode la plus sûre pour se protéger consiste à changer de navigateur. Au moins temporairement.