Disponibilité de Programmez! #240

Programmez! #240 sera disponible en deux étapes :
A partir du 7 mai : disponibilité du PDF. Envoi de la version papier aux abonnés et disponibilité dans notre boutique en ligne.
27 mai : sortie du numéro dans les kiosques.

Abonnés papier : Nous mettons Programmez! #240 PDF à votre disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez pas votre numéro d'abonné, vous pouvez l'obtenir à cette page. Si vous ne possédez pas encore de compte utilisateur, il vous suffit d'en créer un.

Internet Explorer : une faille de sécurité universelle et gravissime !

Par:
fredericmazue

jeu, 05/02/2015 - 16:10

L'expression faille universelle est du chercheur en sécurité David Leo, de la société Deusen. L'expression est certes forte, mais elle est à la hauteur de la faille qui vient d'être découverte dans Internet Explorer. Une faille qui est sans doute d'une ampleur supérieure à la faille "désastreuse", "catastrophique", sous Android, qui avait défrayé la chronique en septembre 2014. Cette faille impactait potentiellement 75% des utilisateurs Android. En pratique elle impactaient tous ceux qui utilisaient le navigateur par défaut, ce qui, dans l'univers Android limite les dégâts

La faille dont il est question aujourd'hui est pire dans le sens où sont touchés Internet Explorer 10, Internet Explorer 11, et même le nouveau navigateur Spartan. Pire, car à priori, plus nombreux sont ceux qui utilisent Internet Explorer par défaut, ou par habitude sous Windows. Universelle et gravissime, car elle permet de hacker par Cross Scripting n'importe quelle page sur Internet.

En quoi consiste cette faille ? Elle permet de contourner la Same Origin Policy, SOP, de JavaScript. SOP interdit normalement à un code JavaScript chargé par une page A sur un domaine A de modifier, ou même d'accéder à du code JavaScript chargé par une page B sur un domaine B.

Concrètement, contourner SOP, cela veut dire que grâce à cette faille, un attaquant, par le biais de code JavaScript présent dans une page malveillante, sera en mesure d'accéder très facilement à des quantités de données. Par exemple et pour commencer fort, à des cookies de session sur un site bancaire, histoire de se connecter à votre compte à votre place. Ou encore, pour afficher un faux formulaire de connexion sur, allons-y gaiement, un site bancaire, histoire de récupérer les identifiants de connexion. On peut encore imaginer la lecture de tous les mails les plus confidentiels, dans un webmail, ou n'importe quoi d'autre. Pas de limite...

La faille est tellement grave que Deusen indique qu'il ne faut tout simplement pas utiliser Internet Explorer, tant que Microsoft, qui reconnaît le problème, n'a pas publié un correctif.

Sur Seclists, David Leo donne un lien sur une page proposée par Deusen, qui contient un exploit. Suivez les instructions. La page vous enverra sur le site dailymail.co.uk et en hackera la page par une bonne vieille attaque de Cross Scripting.