Internet Explorer est victime d'une nouvelle faille particulièrement sournoise : en l'exploitant, un pirate peut faire afficher n'importe quelle adresse dans la barre du navigateur tout en masquant l'identité réelle du site visité. Les escrocs sont ravis, car cela leur permet d'imiter les sites de banques en ligne à la perfection. Il n'existe encore aucun correctif à cette vulnérabilité.

au sommaire

    Une nouvelle faille pour Internet Explorer : attention aux escrocs (maj)

    Une nouvelle faille pour Internet Explorer : attention aux escrocs (maj)

    Mise à jour du 16/12/03 à 18h : sur le site de Opensoft (une société indépendante de MicrosoftMicrosoft), on peut trouver un patch pour contrer la faille de sécurité de la barre d'adresse. Concrètement, lorsqu'on clique sur un lien utilisant la faille de sécurité, l'accès au site pirate est bloqué et une page s'affiche pour vous prévenir. Vous pouvez télécharger ce correctif de 268 ko ici : http://security.openwares.org

    La démonstration est éclatante : cliquez sur un bouton, et vous voici dirigé vers le site web de Microsoft. Du moins, c'est ce que vous affirme la barre d'adresse de votre navigateur. Une étude attentive de la chose ne laisse d'ailleurs aucun doute : l'adresse présentée par Internet Explorer est bien "http://www.microsoft.com", sans aucune des arnaques classiques utilisées par les escrocs pour dissimuler les adresses de leurs sites piégés.

    Pourtant, vous n'êtes pas sur le site de l'éditeur de Windows, mais sur un faux. Et s'il ne s'agissait pas d'une vulgaire démonstration, mais par exemple de la copie d'un site bancaire, vous seriez tombé dans le panneau.

    Une telle attaque est rendue possible par la toute nouvelle faille découverte dans Internet Explorer. Elle permet à un pirate de créer un lien qui, lorsque vous le suivrez, vous amènera sur le site de son choix tout en affichant n'importe quelle adresse dans la barre du navigateur, vous laissant croire que vous êtes arrivé à bon port.

    Ce type d'attaque est généralement utilisé pour diriger l'internaute trop naïf vers une fausse page aux couleurscouleurs de sa banque ou d'un quelconque service en ligne auquel il est déjà abonné (PayPal, par exemple, est très prisé des escrocs).

    Là, le pirate lui demande de s'authentifier et, bien sûr, il récupère les sésames sans difficulté puisqu'il s'agit de son propre site, réalisé pour l'occasion et hébergé n'importe où dans le monde.

    L'arnaque est bien connue, mais il fallait au pirate jusqu'à présent "maquiller" l'adresse du serveur afin qu'elle ressemble à peu près à celle du site original. Ces procédés pouvaient être repérés à l'oeil nu par quelqu'un d'un peu attentif. Aujourd'hui, grâce à la nouvelle vulnérabilité découverte dans Internet Explorer, ce n'est plus le cas : l'adresse affichée par le pirate dans la barre d'URL du navigateur est plus vraie que nature et ne peut être confondue à l'oeil nu.

    Il n'existe aucun correctif à cette faille pour l'instant. Seule parade : désactiver les scripts et se méfier des adresses qui contiennent les caractères %01 ou %00. Microsoft affirme n'avoir pas été contacté à temps avant la diffusiondiffusion de cette alerte, d'où l'absence de rustine ad-hoc.

    Une seconde faille, très proche, permet de faire afficher n'importe quelle adresse dans la barre dite "d'état" du navigateur, celle chargée de montrer où mènera un lien si on clique dessus. La combinaison de ces deux failles permet une mystification totale de l'utilisateur.

    Démonstration des 2 failles

    http://www.microsoft.com (la barre d'état affiche bien "http://www.microsoft.com" lorsque la souris est sur le lien, cliquez...)