au sommaire
Le logo de MSN Messenger
Le décidément très indiscret MSNMSN MessengerMessenger a encore frappé : une nouvelle faille vient d'y être découverte, qui permet cette fois à un inconnu de consulter les fichiers sur le disque dur de sa victime.
Il lui suffit pour cela d'envoyer à son correspondant un message piégé. Facteur aggravant : l'attaque est invisible pour la victime, qui peut ainsi parfaitement se faire siphonner son disque dur tout dialoguant avec son bourreau.
La seule contrainte de cette attaque est que le pirate doit connaître l'emplacement des fichiers qu'il souhaite consulter. Mais considérant, par exemple, que les emails d'Outlook sont stockés dans un endroit bien connu du système, cette faille offre au minimum une occasion rêvée de récupérer tous les emails de son correspondant !
Ce n'est pas la première fois que MSN Messenger trahit ainsi son utilisateur. Il y a deux ans déjà on apprenait que MicrosoftMicrosoft avait équipé Messenger d'un mouchard qui communiquait à l'éditeur les adresses email de son utilisateur et de tous ses contacts. Et bien sûr, dans la grande tradition de fiabilité de Microsoft, les mesures de sécurité mises en place pour s'assurer que l'éditeur serait le seul à accéder à ces informations étaient trouées : n'importe qui pouvait en fait y avoir accès.
Enfin, la même année, une vulnérabilité découverte dans un contrôle ActiveXActiveX permettait à un pirate de prendre le contrôle du PC de sa victime via MSN Messenger.
Détail amusant : ce contrôle ActiveX n'était installé que si l'on utilise MSN Messenger, n'exposant en théorie que les adeptes de l'outil de chat. Mais puisqu'il était signé par Microsoft, le composant défectueux pouvait aussi être installé de force et en silence sur le PC de n'importe qui afin d'en prendre le contrôle malgré tout !
par LesNouvelles.net
le 12 mars 2004
