C’est peut-être le plus sérieux bug jamais découvert sur un navigateur Web. Dan Brumleve, consultant informatique de 22 ans, est l’auteur de cet exploit. Il a réalisé une applet Java, baptisée Brown Orifice HTTPD, qui permet d’accéder aux fichiers d’un micro via son port 80.En clair, un pirate peut utiliser cette applet sur un site Web, afin de lire le contenu du disque dur des internautes qui le visitent. Cette applet ne fonctionne que si ces derniers utilisent un navigateur Netscape et ont activé l’usage du langage Java. Le programme, qui est du type backdoor, ne s’arrête que si l’internaute victime ferme son navigateur Web. Il fonctionne aussi bien sur plate-formes Unix que Windows.Brumleve fait une magnifique démonstration de ce trou de sécurité sur son site Internet. Les visiteurs sont invités à choisir un dossier sur leur disque dur local, puis à cliquer sur un bouton de déclenchement de l’applet. Un lien Internet apparaît alors avec, écrits en clair, l’adresse IP, le port écouté et le chemin d’accès spécifié auparavant.En cliquant sur le lien, le visiteur voit apparaître dans sa fenêtre Netscape l’arborescence de son propre disque dur ! Attention cependant de ne pas en abuser : tous les internautes connectés au site et cliquant sur ce lien peuvent aussi accéder au contenu du disque…Ce qui n’empêche pas que l”applet de Brumleve ait beaucoup de succès sur son site : toutes les 2 ou 3 minutes apparaissent des adresses d’internautes en train d’essayer le trou de sécurité sur leur machine. Plusieurs centaines de visiteurs ont réalisé le test durant ce week-end, n’hésitant pas à ouvrir leurs répertoires personnels pour faire de l’échange de fichiers à la Napster.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
