Faille zero day : évitez d'utiliser Internet Explorer jusqu'à nouvel ordre

Alerte générale : n’ouvrez plus Internet Explorer jusqu’à nouvel ordre ! David Leo, chercheur en sécurité de la société Deusen, a découvert une faille zero-day particulièrement dangereuse dans ce navigateur. Elle permet de piéger les internautes sur de faux sites et de leur voler des informations sensibles. Elle a été testée sur IE 11 et IE 10, et n’épargne même pas le tout nouveau moteur de rendu expérimental de Spartan. Microsoft a été notifié le 13 octobre dernier. La création d’un patch est en cours.

Si cette vulnérabilité est considérée comme tellement critique, c’est parce qu’elle permet de contourner dans le navigateur les règles dites de « Same-Origin », qui restreignent les interactions entre différents domaines web sur une même page. Résultat : grâce à cette faille, les pirates peuvent réaliser n’importe quelle attaque de « Cross-Site Scripting » (XSS) sur n’importe quelle page web consultée par l’internaute. C’est pourquoi David Leo l’appelle une « vulnérabilité XSS universelle ». « Les attaquants peuvent voler n’importe quoi ou injecter n’importe quoi sur un autre domaine », précise le chercheur.

Injection de code néfaste

Concrètement, cette faille permet de créer des liens malicieux qui donnent l’impression à l’internaute d’arriver sur une page web authentique (un site bancaire par exemple), alors que le code de la page a été changé en douce par un tiers. Le pirate pourrait ainsi afficher un faux formulaire de connexion pour voler les identifiants, ou encore lui rafler tous ses cookies.
L’internaute, lui, n’y voit que du feu, car l’adresse affichée dans le navigateur reste toujours la même, même si la connexion est en HTTPS.

A titre d’exemple, David Leo a piraté le site d’actualités britannique Daily Mail, en remplaçant le contenu par la phrase « Hacked by Deusen ».