Internet Explorer : la faille critique de trop ?

Ce n'est pas la première fois qu'un navigateur fait les frais d'une faille de sécurité, et ce n'est certainement pas la dernière. Coutumier du fait, Internet Explorer se fait encore remarquer à cause d'un problème de sécurité dans son code. Sauf que cette fois, la faille pourrait être bien plus importante qu'à l'accoutumée.

La faille en question a été découverte en octobre dernier et c'est David Leo, qui travaille pour la société britannique Deusen, qui l'a découverte. Cette vulnérabilité concerne à la fois Internet Explorer 10 et 11. Et même la nouvelle édition, répondant au nom de code de Spartan et que l'on trouve au sein de Windows 10, n'est pas épargnée. Elle consiste à détourner le contrôle fait par la Same-Origin Policy, une technologie chargée de gérer et de restreindre les scripts en fonction de leur origine. Preuve à l'appui, David Leo montre qu'il est parfaitement possible de contourner ces règles au sein de IE, et de pirater facilement n'importe quel site. Et même si un site utilise une connexion sécurisée (en HTTPS), la faille est pleinement exploitable.

Quels sont les effets de cette vulnérabilité sur l'utilisateur ? Ils sont nombreux : le hacker peut créer un faux formulaire de connexion ouvert depuis une page pourtant légitime, récupérer diverses informations concernant l'internaute depuis les cookies du browser, ou encore voler toutes les informations provenant d'un site bancaire. À titre d'exemple, David Leo fait la démonstration sur le site Dailymail de sa découverte qu'il nomme vulnérabilité XSS universelle.

Microsoft a été prévenu et un correctif est en cours de réalisation. Reste que pour l'instant, toutes les machines utilisant Internet Explorer sont vulnérables. En attendant qu'un patch soit disponible (peut-être pour le prochain Patch Tuesday, le 10 février prochain ?), il existe deux parades possibles : faire appel à un autre navigateur comme Firefox, Chrome ou Opera. Ou employer les services d'une suite de sécurité. Avec Norton Security (par exemple), toute tentative d'attaque est automatiquement repoussée. En attendant, la réputation d'Internet Explorer est de nouveau ternie, elle qui a bien du mal à remonter dans les sondages malgré l'annonce de la nouvelle version Spartan.

Antivirus : quelle est la meilleure suite de sécurité ?

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire