Les virus prêts à infecter les lecteurs de blogs et de fils d'actualité

Coup de chaleur dans le monde des blogs et des fils d'actualité ! De nombreux services et logiciels permettant aux internautes de suivre très facilement les articles diffusés par des sites d'information pourraient devenir les vecteurs d'attaques informatiques. Inquiétude donc pour ceux qui utilisent des sites comme Bloglines, Mon Yahoo!, Google Reader, Netvibes, etc. Idem pour les possesseurs de logiciels tels que Feed Demon, Alertinfo, FeedReader, RSS Owl, GreatNews, Blog Navigator, etc.

A l'origine de cette poussée de fièvre, une étude présentée par la société de sécurité informatique américaine SPI Dynamics début août, lors de la conférence Black Hat 2006.

Toutes les formes de piratage sont possibles : navigateur envoyant des requêtes à des sites marchands à l'insu de l'internaute ; intrusion sur le PC de ce même internaute ; modification d'un conseil d'achat sur un flux d'information financière... Pour provoquer ces attaques, il faut d'abord que le fil d'actualité (au format RSS ou Atom) diffusé par le site, soit corrompu, c'est-à-dire qu'il contienne quelques lignes de code malicieux introduites par le pirate. Il s'agirait par exemple d'instructions rédigées en JavaScript.

Certes, on imagine mal que les fils d'actualité du journal Le Monde ou que celui du blog de Michel-Edouard Leclerc soit volontairement corrompu. Mais Sam Ruby, un expert du monde RSS, a expliqué sur son blog ' qu'un de ces jours, des hackers pirateront un site populaire comme Engadget [blog sur les nouveautés high-tech, NDLR]. Mais au lieu de mettre quelque chose de visible sur le site, ils mettront quelque chose d'invisible dans le fil d'actualité '. D'autres parient plus simplement sur la possibilité d'insérer ce code dans les commentaires, ces petits textes que chaque internaute peut laisser en dessous d'un article publié sur un blog.

Deuxième condition pour que ces attaques soient efficaces : il faut que les dispositifs chargés de lire ces flux soient vulnérables. Robert Auger, l'auteur de l'étude de SPI Dynamics, a basé une de ses démonstrations sur le site Bloglines, qui montrait à l'époque quelques faiblesses. ' Elles ont été corrigées depuis ', affirme-t-on chez Bloglines.

FeedDemon a tenté dans un premier temps de minorer le problème en affirmant que son logiciel était très peu sensible. James Snell, programmeur émérite, a alors mis au point une batterie de tests. ' Feed Demon a manqué un nombre significatif des 1397 tests que j'ai mis au point ', explique-t-il sur son blog. Du coup, une actualisation du logiciel est en préparation (la version 2.0.0.25, non disponible en ligne à l'heure où nous écrivons). RSS Owl vient de son côté de mettre en ligne une mise à jour de sécurité. Les autres restent silencieux.

Du côté de Microsoft, on prend également la menace très au sérieux, d'autant que le prochain navigateur Internet Explorer 7 fait un usage intensif du RSS. Walter Von Koch, responsable de l'équipe de développement qui travaille sur le RSS, détaille sur le blog de son équipe les deux mesures prises par l'entreprise et qui ?" selon lui ?" suffisent à éviter les risques de piraterie. Primo : le nettoyage. Avant d'être affiché, le fil RSS serait ' nettoyé ' pour supprimer tous les scripts. Secundo : l'affichage du RSS opère dans une zone sécurisée qui interdirait tout accès à l'ordinateur de l'utilisateur.