ACTUALITES

Des sites de phishing plus vrais que nature

Par Jérôme Saiz Lesnouvelles.net le 10/04/2006 - indexel.net

Le navigateur de Microsoft est victime d'une vulnérabilité permettant d'exécuter une application Flash arbitraire en faisant afficher au navigateur n'importe quelle adresse. Cette astuce ouvre la voie à des sites de phishing plus vrais que nature.

Voilà qui arrange les affaires des phishers. Internet Explorer leur permet désormais de faire afficher l'adresse de leur choix dans la barre du navigateur tout en contrôlant le contenu qui apparaît à l'écran. Cette astuce ouvre la voie à des sites de phishing plus vrais que nature, puisque la barre d'adresse du navigateur indiquera la "vraie" URL du site imité au lieu de celle d'un serveur anonyme situé quelque part à l'autre bout du monde.

Dans le détail, la vulnérabilité exploite une erreur de timing : le pirate affiche une application Flash sur son propre site, et, avant qu'elle ne soit entièrement chargée, il modifie grâce à Javascript l'adresse sur laquelle doit pointer le navigateur, en spécifiant celle du site légitime qu'il tente d'imiter. La redirection ne s'exécute toutefois pas immédiatement, car l'application Flash doit finir de se charger. Cependant, une fois que c'est fait, Internet Explorer a "oublié" qu'il doit aller à une autre adresse. Mais il affiche tout de même cette dernière dans sa barre d'URL, en même temps que le contenu de l'application Flash. Les dernières versions du navigateur, y compris sur un Windows XP entièrement à jour, sont vulnérables et il n'existe pour l'instant encore aucun correctif. Microsoft devrait cependant publier une rustine rapidement à l'occasion de sa livraison mensuelle.

D'ici là, même si aucune exploitation n'a encore été rapportée, mieux vaut être vigilant et désactiver Flash ou changer de navigateur. Car l'attaque n'est pas que théorique : plusieurs codes d'exploitation circulent, dont celui de Hai Nam Luke, le découvreur de la faille. Le site spécialisé Secunia a quant à lui mis en ligne une démonstration tout à fait efficace, comme le montre notre illustration ci-dessous.

Testée avec Safari et Firefox, cette démonstration a révélé qu'aucun des deux navigateurs n'est vulnérable. Safari ignore totalement l'application Flash et se contente de pointer naturellement vers Google. Firefox 1.5.01 (sous MacOS X et Windows) affiche quant à lui bien la mire Flash mais ne trompe pas l'utilisateur : il lui montre la véritable adresse du site.

Plus d'informations :

L'alerte sur Secunia (en anglais)

Le test en ligne (en anglais)

L'ACTUALITE EN DIRECT

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

		Les PME adoptent massivement la virtualisation
		Périphériques mobiles : la guerre des brevets bat son plein
		Réseaux sociaux et productivité des entreprises, les cadres y croient !
		Sécurité et mobilité : un mariage bancal
		Cybercriminalité : des attaques moins nombreuses mais plus virulentes
		Open Office fait son retour après un an d’immobilisme
		La CNIL lance une enquête sur la sécurité de NFC
		Consumérisation de l’IT : des directions informatiques dépassées
		Légère régression du piratage de logiciels en France
		Le marché du cloud ne connaît toujours pas la crise

TOUTES LES ACTUS