Tech

Les webmails sont vulnérables... lorsque utilisés avec Internet Explorer !

ActualitéClassé sous :Internet , webmail , Internet Explorer

Une méthode propre à Internet Explorer permet de contourner les filtres mis en place par de nombreux webmails, dont Yahoo!. Il devient alors possible de faire exécuter un script sur l'ordinateur de la victime en lui envoyant un simple email. Bilan d'une telle attaque lorsqu'elle est réussie : vol des courriers, du carnet d'adresse ou même exécution d'un ver.

Le logo d'Internet Explorer

L'attaque est particulièrement sournoise : il suffit d'exploiter une obscure caractéristique d'Internet Explorer (le module HTML+TIME) afin de faire exécuter un script à l'ouverture d'un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d'adresse ou même faire télécharger un ver afin d'infecter le PC, ceci en conjonction avec d'autres failles connues.

Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer.
Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi.

Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).
Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi