Passer au contenu

Internet Explorer : la faille

Ce n’est pas une nouveauté, Internet Explorer n’est pas le navigateur le plus sûr pour naviguer sur le Web, malgré les nombreuses améliorations apportées au fil…

Ce n’est pas une nouveauté, Internet Explorer n’est pas le navigateur le plus sûr pour naviguer sur le Web, malgré les nombreuses améliorations apportées au fil du temps. Aujourd’hui, nous apprenons qu’en octobre dernier, la société Spider.io a découvert une faille de sécurité assez particulière sur IE (de la version 6 à 10)…

Revenons déjà sur la faille, cette dernière permettrait de suivre les mouvements de la souris d’un utilisateur en passant simplement par une publicité insérée sur une page Web. Cette faille pourrait s’avérer dangereuse, surtout pour les clients de certaines banques, qui proposent de taper en ligne son code confidentiel via un clavier virtuel, pour parer aux keyloggers. Cependant, il me semble que le schéma de ce dernier est différent à chaque fois, c’est du moins le cas pour le Crédit Agricole.

Cette faille ne nécessite pas l’installation d’un quelconque logiciel pour le hacker, s’il désire l’exploiter, il devra payer un emplacement publicitaire sur une page. Le plus embêtant, c’est que Microsoft est au courant de cette vulnérabilité depuis le 1er octobre, mais personne ne semble s’en inquiéter, puisqu’à ce jour, aucun correctif n’a été déployé.

IE faille

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

25 commentaires
  1. C’est vrai, la plupart des pavés sont générés aléatoirement.
    Sur le site du Crédit Argricole, je clique sur des cases vides pendant je tape mon code d’accès entre certains chiffres et à la fin des 6 chiffres entrés, comme ça on peut moins facilement deviner avec ladite technique.
    Ca se trouve ça sert à rien mais j’men fous 🙂
    Ceci dit, il suffit de ne pas utiliser IE 😀

  2. Si ça se trouve les numéros sont générés aléatoirement pour palier a çà… (conspiration quand tu nous tiens^^…)

  3. @littleyoda : C’est exactement ce que j’allais dire. Que ce soit sur les sites de banques et même sur le site de Free (pour l’identifiant), les numéros changent toujours de places. D’ailleurs, je ne connais pas de sites qui utilisent des numéros à cliqué avec la souris qui ne changent pas de place…

  4. Les cases sont générées aléatoirement mais un algorithme peut cracker tout ça (force brute) surtout quand on sait l’ordre des cases que la personne a cliqué …

  5. “Cette faille pourrait s’avérer dangereuse, surtout pour les clients de certaines banques, qui proposent de taper en ligne son code confidentiel via un clavier virtuel”
    Sachant que ces claviers virtuels changent de disposition à chaque fois, enregistrer uniquement les coordonnées de la souris n’apporte strictement rien.

  6. Ouais enfin, pour revenir sur le code du site du Crédit Agricole, c’est super simple à craquer… les images changent de place, certes, mais dans chaque le chiffre représenté par l’image est en clair. Il n’y a donc même pas besoin de faire appel à de l’ocr pour voir quel chiffre est cliqué si on capte correctement l’élément cible de l’évènement clic.
    Seule sécurité pour le CA, ne pas mettre de pubs sur cette page, mais ils ne sont malgré tout pas à l’abri d’un mouchard dans une extension ou sur le système. Bref, système de vérouillage complettement inutile et juste chiant. la seule solution c’est les certificats ou la double autentification (mot de passe + code par sms sur un numéro de mobile prédéfini par exemple)

  7. j’utilise Chrome et ne suis pas fana de IE mais faut pas pousser non plus. Ok IE a été une calamité niveau respect des standards (aujourd’hui faut avouer que c’est beaucoup mieux) mais cela n’a jamais été si terrible niveau sécurité !

  8. @dismuter
    Quel crédit donc peut-on apporter à ce genre de résultat ? NSS Labs a déjà effectué ce genre de tests par le passé, à la demande de Microsoft. Selon nos confrères de The Next Web, qui ont contacté NSS Labs, cette fois l’étude aurait été menée de manière totalement indépendante. Si celle-ci est avérée, c’est un coup dur pour les navigateurs de Google et de la Mozilla Foundation, qui ont souvent misé sur la sécurité de leur navigateur pour en faire la promotion

    Si on lis bien c’est pas non plus prouvé à 100%…

  9. “Microsoft est au courant de cette vulnérabilité depuis le 1er octobre, mais personne ne semble s’en inquiéter, puisqu’à ce jour, aucun correctif n’a été déployé.”

    On vois que le JDG n’a jamais fait de dev ! vu le nombre de PC impactés vous croyez que le patch va sortir en 10 minutes sans avoir fais moultes tests ….

  10. @konne666 je suis à moitié d’accord, quelle crédibilité donner à ce test ? mais quelle crédibilité doit-on donner au JDG ? le JDG qui porte un jugement sur la sécurité globale de IE basée sur du vent et annonce que les ingénieurs de MS sont des bouffons vu qu’aucun correctif n’est encore apparu…

  11. @dismuter : si mes souvenirs sont bons à propos d’un article écrit a propos de ton lien : le test était biaisé dans le sens ou IE avait de base des plugins de sécurité activé, qui n’était pour le coup pas installés de base dans les autres navigateurs…

    Mais celà ne change en rien que je pense que IE est loin (très loin même) d’être le navigateur idéal… surtout pour consulter ses comptes bancaires.

  12. @konne666 ” Si celle-ci est avérée, c’est un coup dur pour les navigateurs de Google et de la Mozilla Foundation, qui ont souvent misé sur la sécurité de leur navigateur pour en faire la promotion”

    Au contraire, ça donne raison à Chrome et FF d’avoir axé leur promo sur la sécurité supérieure à IE.

  13. Ne vous inquiétez pas, cette faille n’est pas si catastrophique pour la connexion à votre banque. En fait pour pouvoir récupérer votre code il faut avoir accès à votre ECRAN. En effet les données transitant sur le net sont les coordonnées de vos cliques, c’est le serveur de la banque qui connait la correspondance avec les chiffres, donc n’ayez pas peur. De plus pour l’exploiter il n’est pas du tout nécessaire de payer un espace publicitaire, il suffit d’injecter un iframe par exemple, enfin il y a plein de méthodes. En tout criticité de la vuln … casi nulle sauf si vous dessinez votre mot de passe à la souris.
    Sinon pour ce qui est des vulns ou non sur IE par rapport aux autres, il s’avère que IE est navigateur ayant été exposé à des 0day dont l’exploitation est avérée pendant le plus de jours ces dernières années. C’est le meilleur indicateur que j’ai pu trouvé.

  14. Oui les cases sont générées aléatoirement, mais sur des sites comme la BNP, elles sont toujours dans l’ordre numérique (par exmple le 3 ne sera jamais plus loin que le 5) et ont des cases vides.
    Donc une fois qu’on a enregistré 3/4 fois la séquence de la sourie, on devrait pouvoir connaitre le code.

  15. dismuter : j’adore quand tu cites un site sur lequel j’ai travaillé 10 ans 😀 Mais une chose est certaine, j’espère qu’en tant que GEEK tu estimes pas qu’IE est le meilleur navigateur niveau sécurité, sinon, où va le monde des Geeks ….
    Ensuite si tu lisais mon article, j’ai souligné que les claviers virtuels étaient aléatoires…

  16. @hpotter : ouai ok et tu te rends compte pour 10 chiffres + des cases vides disposées aléatoirement le nombre d’essais à faire avec ta technique de force brute? Tu crois vraiment que le site d’une banque te laisserai te planter autant de fois sans bloquer ton compte, t’envoyer un mail ou un sms, voir t’appeler?

  17. Juste pour modérer les anti IE, la faille couvre IE6 à IE10 et a été découverte en octobre 2012, rien ne prouve que votre navigateur fétiche ne fera pas “de grandes découvertes” dans les prochaines années.

    Le bouton [-] est là
    —v

  18. On dort plus tranquille avec plein de navigateurs, ça rend moins facile et moins rentable l’exploitation d’une faille…
    Le seuls par lequel je me suis fais trouer les fesses est IE by the way. Avec Firefox sous win j’ai jamais rencontré de problème (je suis prudent cela dit si je ne suis pas sous linux).

  19. @konne666: La question n’est pas quel crédit on peut apporter à NSS Lab, la question est quel crédit on peut apporter à l’affirmation du journal du geek qui:
    1) à défaut de pointer vers une source, semble ne s’appuyer que sur un ressenti, un à priori;
    2) est catégorique alors que dans ce domaine il est difficile de l’être compte-tenu des enquêtes aux conclusions divergentes.

    @Crystelle: Je te rassure, je suis loin de penser que c’est globalement le meilleur navigateur, mais je ne dis pas non plus avec aplomb que ce n’est pas le plus sécurisé, car je n’ai rien pour me permettre de l’affirmer. Et force est de reconnaitre que Microsoft a mis beaucoup de moyens sur la sécurisation de ses produits durant les 6 dernières années.

Les commentaires sont fermés.

Mode