Le problème, qu'elle décrit sur son site (en anglais) de manière très didactique, permettrait à des escrocs en ligne d’afficher sur un site légitime (une banque ou un cybermarchand) une fenêtre pop-up dont ils contrôlent le contenu, tout en laissant croire à l’internaute, qui consulte par exemple son compte bancaire, qu'il a affaire à son prestataire habituel.
Baptisée "injection de fenêtre" (window injection), cette manipulation n'est pas en soi une faille de sécurité, mais plutôt une arnaque de type "phishing" (dont le principe est d'obtenir des données personnelles d'une personne, via un e-mail qui a l'apparence d'un courrier officiel). Dans sa démo, Secunia utilise comme exemple le site de la Citibank: un clic sur l’image ouvre une fenêtre pop-up, qui est contrôlée par le programme de Secunia.
Sont vulnérables tous les navigateurs du marché: Internet Explorer de Microsoft, Mozilla et Firefox de la Fondation Mozilla, Opera, le logiciel libre Konqueror, et enfin Safari d’Apple Computer.
«Aucun navigateur n’avertit, ni ne vérifie, si l’autre site [celui contrôlé par les pirates, Ndlr] est autorisé à modifier le contenu de la fenêtre pop-up», explique Thomas Kristensen, responsable technologique chez Secunia, dans un courriel adressé à CNET News.com. «Si la fenêtre pop-up est ouverte parce que l’utilisateur a cliqué sur une fonction spécifique, il n’a aucune raison de suspecter que le contenu de cette fenêtre a été modifié par un site malveillant.»
Piratage d’une fonctionnalité légitime
Pour Microsoft, l’attaque utilise une fonctionnalité dite «légitime» des navigateurs pour duper les utilisateurs. «Nos premières recherches ont montré que ce rapport décrit un comportement intrinsèque de tous les navigateurs populaires. Celui-ci autorise un site web à ouvrir ou réutiliser une fenêtre sans afficher la barre d’adresse. Il s’agit d’un mécanisme de confiance intégré aux navigateurs», a indiqué la firme de Redmond dans une déclaration écrite transmise à CNET News.com.
Il n’a pas été possible de joindre Apple, la Fondation Mozilla et Opera pour obtenir leurs commentaires sur ce problème.
Le piratage d’une fonctionnalité légitime est la dernière menace de sécurité en date qui pourrait aider les escrocs en ligne – "phishers" – à dérober des informations d’identité aux internautes. Le mois dernier, des intrus ont forcé la sécurité d’au moins un serveur de l’agence de publicité en ligne Falk. Ils ont alors utilisé cet ordinateur pour attaquer les clients de ses services, dont le site d’informations The Register.
Microsoft insiste sur le fait que les utilisateurs de Windows XP qui ont installé Service Pack 2 (SP2) disposent de quelques outils "anti-phishing". Toute fenêtre qui demande des informations personnelles, financières ou de connexion, peuvent en effet être envoyées chiffrées et afficher une icône de serrure dans la barre d’état au bas de la fenêtre. «Certaines arnaques par phishing ont présenté aux utilisateurs une fausse icône de cadenas dans une fausse barre d’état au bas de la fenêtre du navigateur», reprend la déclaration de Microsoft. «Internet Explorer [version] XP SP2 affichera toujours la vraie barre d’état, de sorte que les utilisateurs puissent faire la distinction entre une fausse icône de cadenas et une vraie.»
Toutefois, Secunia rétorque que les principaux éditeurs de navigateurs ont raté le coche. La plupart des utilisateurs ne remarqueront pas d'aussi petits détails s’ils croient être sur un site légitime. «Ils n’ont pas réussi à prendre en compte l’évolution des activités malveillantes sur internet», déplore Kristensen. «Ils n'ont pas non plus assez pris en compte le fait que les failles de sécurité, qui peuvent être exploitées pour installer automatiquement du code malveillant, ne sont pas le seul point névralgique [sur le web].»
Par conséquent Secunia conseille aux internautes de n’avoir qu’une seule fenêtre ouverte lorsqu’ils sont sur des sites internet qui seront amenés à leur demander des informations personnelles, comme les banques et les boutiques en ligne.
Baptisée "injection de fenêtre" (window injection), cette manipulation n'est pas en soi une faille de sécurité, mais plutôt une arnaque de type "phishing" (dont le principe est d'obtenir des données personnelles d'une personne, via un e-mail qui a l'apparence d'un courrier officiel). Dans sa démo, Secunia utilise comme exemple le site de la Citibank: un clic sur l’image ouvre une fenêtre pop-up, qui est contrôlée par le programme de Secunia.
Sont vulnérables tous les navigateurs du marché: Internet Explorer de Microsoft, Mozilla et Firefox de la Fondation Mozilla, Opera, le logiciel libre Konqueror, et enfin Safari d’Apple Computer.
«Aucun navigateur n’avertit, ni ne vérifie, si l’autre site [celui contrôlé par les pirates, Ndlr] est autorisé à modifier le contenu de la fenêtre pop-up», explique Thomas Kristensen, responsable technologique chez Secunia, dans un courriel adressé à CNET News.com. «Si la fenêtre pop-up est ouverte parce que l’utilisateur a cliqué sur une fonction spécifique, il n’a aucune raison de suspecter que le contenu de cette fenêtre a été modifié par un site malveillant.»
Piratage d’une fonctionnalité légitime
Pour Microsoft, l’attaque utilise une fonctionnalité dite «légitime» des navigateurs pour duper les utilisateurs. «Nos premières recherches ont montré que ce rapport décrit un comportement intrinsèque de tous les navigateurs populaires. Celui-ci autorise un site web à ouvrir ou réutiliser une fenêtre sans afficher la barre d’adresse. Il s’agit d’un mécanisme de confiance intégré aux navigateurs», a indiqué la firme de Redmond dans une déclaration écrite transmise à CNET News.com.
Il n’a pas été possible de joindre Apple, la Fondation Mozilla et Opera pour obtenir leurs commentaires sur ce problème.
Le piratage d’une fonctionnalité légitime est la dernière menace de sécurité en date qui pourrait aider les escrocs en ligne – "phishers" – à dérober des informations d’identité aux internautes. Le mois dernier, des intrus ont forcé la sécurité d’au moins un serveur de l’agence de publicité en ligne Falk. Ils ont alors utilisé cet ordinateur pour attaquer les clients de ses services, dont le site d’informations The Register.
Microsoft insiste sur le fait que les utilisateurs de Windows XP qui ont installé Service Pack 2 (SP2) disposent de quelques outils "anti-phishing". Toute fenêtre qui demande des informations personnelles, financières ou de connexion, peuvent en effet être envoyées chiffrées et afficher une icône de serrure dans la barre d’état au bas de la fenêtre. «Certaines arnaques par phishing ont présenté aux utilisateurs une fausse icône de cadenas dans une fausse barre d’état au bas de la fenêtre du navigateur», reprend la déclaration de Microsoft. «Internet Explorer [version] XP SP2 affichera toujours la vraie barre d’état, de sorte que les utilisateurs puissent faire la distinction entre une fausse icône de cadenas et une vraie.»
Toutefois, Secunia rétorque que les principaux éditeurs de navigateurs ont raté le coche. La plupart des utilisateurs ne remarqueront pas d'aussi petits détails s’ils croient être sur un site légitime. «Ils n’ont pas réussi à prendre en compte l’évolution des activités malveillantes sur internet», déplore Kristensen. «Ils n'ont pas non plus assez pris en compte le fait que les failles de sécurité, qui peuvent être exploitées pour installer automatiquement du code malveillant, ne sont pas le seul point névralgique [sur le web].»
Par conséquent Secunia conseille aux internautes de n’avoir qu’une seule fenêtre ouverte lorsqu’ils sont sur des sites internet qui seront amenés à leur demander des informations personnelles, comme les banques et les boutiques en ligne.
Arrêtez la prise de notes sur ordinateur