WEB SIDE STORIES

« Jamais homme sage n'a souhaité rajeunir » [Jonathan Swift]




Tous les navigateurs potentiellement vulnérables aux vrais faux pop-up

Par Robert Lemos
CNET News.com
Vendredi 10 décembre 2004


IE, Mozilla, Firefox, Opera, Safari... tous sont concernés. La technique du "phishing" se déplace directement sur le web pour arnaquer l'internaute, via des pop-up. Sans même avoir besoin d’exploiter une quelconque faille de sécurité.

Des pirates informatiques pourraient détourner une fonction intégrée dans tous les logiciels de navigation web actuels afin de duper les internautes lorsqu’ils transmettent des informations sensibles. Cet avertissement lancé le 8 décembre émane de Secunia, une société danoise spécialisée dans la sécurité des technologies internet.



Tous les navigateurs potentiellement vulnérables aux vrais faux pop-up
Le problème, qu'elle décrit sur son site (en anglais) de manière très didactique, permettrait à des escrocs en ligne d’afficher sur un site légitime (une banque ou un cybermarchand) une fenêtre pop-up dont ils contrôlent le contenu, tout en laissant croire à l’internaute, qui consulte par exemple son compte bancaire, qu'il a affaire à son prestataire habituel.

Baptisée "injection de fenêtre" (window injection), cette manipulation n'est pas en soi une faille de sécurité, mais plutôt une arnaque de type "phishing" (dont le principe est d'obtenir des données personnelles d'une personne, via un e-mail qui a l'apparence d'un courrier officiel). Dans sa démo, Secunia utilise comme exemple le site de la Citibank: un clic sur l’image ouvre une fenêtre pop-up, qui est contrôlée par le programme de Secunia.

Sont vulnérables tous les navigateurs du marché: Internet Explorer de Microsoft, Mozilla et Firefox de la Fondation Mozilla, Opera, le logiciel libre Konqueror, et enfin Safari d’Apple Computer.

«Aucun navigateur n’avertit, ni ne vérifie, si l’autre site [celui contrôlé par les pirates, Ndlr] est autorisé à modifier le contenu de la fenêtre pop-up», explique Thomas Kristensen, responsable technologique chez Secunia, dans un courriel adressé à CNET News.com. «Si la fenêtre pop-up est ouverte parce que l’utilisateur a cliqué sur une fonction spécifique, il n’a aucune raison de suspecter que le contenu de cette fenêtre a été modifié par un site malveillant.»

Piratage d’une fonctionnalité légitime

Pour Microsoft, l’attaque utilise une fonctionnalité dite «légitime» des navigateurs pour duper les utilisateurs. «Nos premières recherches ont montré que ce rapport décrit un comportement intrinsèque de tous les navigateurs populaires. Celui-ci autorise un site web à ouvrir ou réutiliser une fenêtre sans afficher la barre d’adresse. Il s’agit d’un mécanisme de confiance intégré aux navigateurs», a indiqué la firme de Redmond dans une déclaration écrite transmise à CNET News.com.

Il n’a pas été possible de joindre Apple, la Fondation Mozilla et Opera pour obtenir leurs commentaires sur ce problème.

Le piratage d’une fonctionnalité légitime est la dernière menace de sécurité en date qui pourrait aider les escrocs en ligne – "phishers" – à dérober des informations d’identité aux internautes. Le mois dernier, des intrus ont forcé la sécurité d’au moins un serveur de l’agence de publicité en ligne Falk. Ils ont alors utilisé cet ordinateur pour attaquer les clients de ses services, dont le site d’informations The Register.

Microsoft insiste sur le fait que les utilisateurs de Windows XP qui ont installé Service Pack 2 (SP2) disposent de quelques outils "anti-phishing". Toute fenêtre qui demande des informations personnelles, financières ou de connexion, peuvent en effet être envoyées chiffrées et afficher une icône de serrure dans la barre d’état au bas de la fenêtre. «Certaines arnaques par phishing ont présenté aux utilisateurs une fausse icône de cadenas dans une fausse barre d’état au bas de la fenêtre du navigateur», reprend la déclaration de Microsoft. «Internet Explorer [version] XP SP2 affichera toujours la vraie barre d’état, de sorte que les utilisateurs puissent faire la distinction entre une fausse icône de cadenas et une vraie.»

Toutefois, Secunia rétorque que les principaux éditeurs de navigateurs ont raté le coche. La plupart des utilisateurs ne remarqueront pas d'aussi petits détails s’ils croient être sur un site légitime. «Ils n’ont pas réussi à prendre en compte l’évolution des activités malveillantes sur internet», déplore Kristensen. «Ils n'ont pas non plus assez pris en compte le fait que les failles de sécurité, qui peuvent être exploitées pour installer automatiquement du code malveillant, ne sont pas le seul point névralgique [sur le web].»

Par conséquent Secunia conseille aux internautes de n’avoir qu’une seule fenêtre ouverte lorsqu’ils sont sur des sites internet qui seront amenés à leur demander des informations personnelles, comme les banques et les boutiques en ligne.

Dimanche 12 Décembre 2004

Lu 7209 fois

Nouveau commentaire :
Twitter

Informatique | Humour | Santé | Coup de coeur | Coup de gueule | Divers | Télécoms | Ordiphones | Partenaires | Musique | Sexualité | Belles annonces | Bons plans | Voyages | Météo Samui | Edito