Une nouvelle faille a été signalée dans Internet Explorer et Outlook Express. Elle a été démontrée avec IE 6 ou Outlook Express et Windows XP SP1, mais elle est corrigée si l'on a installé le Service Pack 2. D'autres versions pourraient être vulnérables, mais on ne dispose pas encore d'information à ce sujet.

au sommaire

    Faille partiellement corrigée dans Internet Explorer

    Faille partiellement corrigée dans Internet Explorer

    La faille peut être exploitée dans une page web ou un mail piégé rédigé au format HTML. Le principe consiste à faire afficher dans la barre d'état (au bas de la fenêtrefenêtre du programme) une fausse adresse de site web (par exemple celle de votre banque ou Ebay ou Paypal...) lorsque le pointeur de la souris passe sur un lien. Si on clique, par contre, on est envoyé sur une page hébergée sur un serveur pirate. Mais comme la page imitera celle de l'organisme dont l'adresse s'est affichée, vous pouvez être amené à donner en toute confiance des informations personnelles, comme votre code de carte bancaire.

    On peut trouver une démonstration de la faille sur www.ixus.net (voir lien au bas de cette page).

    Si votre Internet Explorer est sensible à cette faille, en passant le pointeur sur le lien truqué www.amazonamazon.com, vous voyez cette adresse apparaître dans la barre d'état. Mais si vous cliquez vous êtes dirigé vers une fausse page (sans danger dans cette démonstration). Remarquez alors que dans la barre d'adresse, l'URL affiché montre bien que vous n'êtes pas sur une page d'Amazon. C'est pour cette raison que la faille est considérée comme non critique par SecuniaSecunia, un organisme spécialisé en sécurité informatique.

    Si votre IE n'est pas sensible les choses se passeront de la manière suivante : en approchant lentement la souris du lien, vous voyez d'abord s'afficher la fausse adresse, mais vous constaterez que le clic n'est pas actif. En déplaçant un peu pour être franchement sur le lien, c'est l'adresse réelle qui s'affiche lorsque le clic devient actif et, en théorie, votre attention devrait être alertée. Même sans danger ce double affichage devrait être corrigé pas MicrosoftMicrosoft !

    Avec Mozilla/Firefox, pas de problème : seule l'adresse réelle s'affiche.

    Cette faille utilise un défaut d'Internet Explorer (et Outlook Express) lorsque le lien est inclus dans un tableau. Elle est proche de deux autres failles signalées il y a quelques mois où le même effet est obtenu en "bricolant" avec d'autres astuces le code incluant le lien. L'une de ces failles est corrigée par le SP2, mais l'autre ne l'est probablement pas.

    Conseils :

    Ayez toujours un système à jour. Si vous voyez dans un mail ou une page web un lien vous renvoyant sur un site connu susceptible de vous demander vos coordonnées bancaires ou un mot de passe (banque, site d'achat en ligne ou autre), ne faites pas confiance. Il vaut mieux, même si c'est un peu plus long, retaper vous-même l'adresse (vérifiée) du site dans la barre d'adresse.

    N'oubliez pas en effet qu'un lien cliquable peut afficher n'importe quel texte (par exemple l'adresse d'une institution respectable) et vous envoyer sur un tout autre serveur. Et comme la plupart des gens ne vérifient ni l'affichage de la barre d'état, ni celui de la barre d'adresse, il n'est pas difficile de piéger un utilisateur naïf ou distrait, même en l'absence de toute faille dans le navigateurnavigateur.