Microsoft critiqué sur sa gestion d’un bogue dans IE

Cloud

En n’intégrant pas à IE une règle de sécurité simple et utilisée depuis longtemps, Microsoft a laissé une porte grande ouverte aux pirates. C’est en tout cas l’avis d’un chercheur indépendant, relayé par le site SecurityFocus.

Des experts avertissent que le non-respect par Microsoft d’une règle de sécurité pourtant connue a introduit un sérieux défaut dans son Internet Explorer. La vulnérabilité découverte juste avant Noël permet à des utilisateurs malveillants de se faire passer pour des sites légitimes et, partant, de s’approprier les données contenues dans les cookies récupérés par l’internaute et même d’accéder à d’autres fichiers stockés sur le disque dur de la victime.

D’après le site spécialisé dans la sécurité SecurityFocus, ainsi que selon le chercheur indépendant qui a découvert le bogue connu sous le nom de « ThePull », Microsoft a tout simplement négligé de respecter une règle de sécurité appelée « Politique de même provenance » (same origin policy). Cette dernière a été conçue par les ingénieurs de Netscape pour éviter que du code en provenance d’une première fenêtre puisse affecter un autre site affiché dans une fenêtre différente.

En utilisant la commande Javascript « document.open », Internet Explorer permet à du code de la première fenêtre d’interagir avec du code contenu dans la page affichée dans la seconde. En théorie, cela permet à un pirate de concevoir un site spécialement construit et capable de dérober des informations contenues dans les cookies de l’internaute (tels des numéros de cartes de crédit ou des identifiants de connexion) ou de tromper un internaute en lui faisant croire qu’il est en train de visiter un site de confiance.

Une vulnérabilité sérieuse « La violation de la same origin policy est une vulnérabilité sérieuse. Un pirate peut l’exploiter de nombreuses façons », estime un avis publié par SecurityFocus. Une démonstration des problèmes sus-cités est faite en ligne par « ThePull ». Selon le chercheur, Microsoft est au courant du problème et devrait publier un correctif rapidement. Jusque-là, les internautes peuvent se protéger en désactivant les fonctions de scripting d’IE… ou en utilisant Netscape, dont la version 6.2 est téléchargeable depuis peu.