Internet Explorer : une faille de sécurité universelle et gravissime !

Par:
fredericmazue

jeu, 05/02/2015 - 16:10

L'expression faille universelle est du chercheur en sécurité David Leo, de la société Deusen. L'expression est certes forte, mais elle est à la hauteur de la faille qui vient d'être découverte dans Internet Explorer. Une faille qui est sans doute d'une ampleur supérieure à la faille "désastreuse", "catastrophique", sous Android, qui avait défrayé la chronique en septembre 2014. Cette faille impactait potentiellement 75% des utilisateurs Android. En pratique elle impactaient tous ceux qui utilisaient le navigateur par défaut, ce qui, dans l'univers Android limite les dégâts

La faille dont il est question aujourd'hui est pire dans le sens où sont touchés Internet Explorer 10, Internet Explorer 11, et même le nouveau navigateur Spartan. Pire, car à priori, plus nombreux sont ceux qui utilisent Internet Explorer par défaut, ou par habitude sous Windows. Universelle et gravissime, car elle permet de hacker par Cross Scripting n'importe quelle page sur Internet.

En quoi consiste cette faille ? Elle permet de contourner la Same Origin Policy, SOP, de JavaScript. SOP interdit normalement à un code JavaScript chargé par une page A sur un domaine A de modifier, ou même d'accéder à du code JavaScript chargé par une page B sur un domaine B.

Concrètement, contourner SOP, cela veut dire que grâce à cette faille, un attaquant, par le biais de code JavaScript présent dans une page malveillante, sera en mesure d'accéder très facilement à des quantités de données. Par exemple et pour commencer fort, à des cookies de session sur un site bancaire, histoire de se connecter à votre compte à votre place. Ou encore, pour afficher un faux formulaire de connexion sur, allons-y gaiement, un site bancaire, histoire de récupérer les identifiants de connexion. On peut encore imaginer la lecture de tous les mails les plus confidentiels, dans un webmail, ou n'importe quoi d'autre. Pas de limite...

La faille est tellement grave que Deusen indique qu'il ne faut tout simplement pas utiliser Internet Explorer, tant que Microsoft, qui reconnaît le problème, n'a pas publié un correctif.

Sur Seclists, David Leo donne un lien sur une page proposée par Deusen, qui contient un exploit. Suivez les instructions. La page vous enverra sur le site dailymail.co.uk et en hackera la page par une bonne vieille attaque de Cross Scripting.