Critique ! Tel est le qualificatif que Microsoft attribue à une nouvelle faille (référence MSO2-048) de sécurité qui touche toutes les versions de Windows à partir de 98 jusqu’à XP (y compris la version 64 bits) en passant par Me, NT/2000 et le navigateur Internet Explorer à partir de la version 5. Cette faille touche les certificats numériques indispensables aux transactions sécurisées (paiement en ligne, cryptage de courrier, certification d’identité, signature électronique, etc.). Le risque est de voir une personne malveillante supprimer les certificats stockés sur le disque dur de l’utilisateur afin de lui subtiliser des données personnelles confidentielles (n° de carte de paiement, notamment) ou d’abuser de sa confiance.
Concrètement, Windows dispose d’un contrôle ActiveX (le Certificate Enrollment Control) qui autorise l’enregistrement de certificats provenant d’un site Web. C’est cet ActiveX qui est exploité notamment lors de l’installation d’un logiciel qui identifie son expéditeur et soumet l’enregistrement à l’autorisation de l’utilisateur (les plug-ins Flash de Macromedia, par exemple). La faille se situe au niveau même du contrôle ActiveX. La faille ne permet pas, a priori, de s’emparer des certificats de l’utilisateur. Mais l’intrus peut les détruire (compliquant ainsi considérablement la vie de l’internaute qui se demandera bien pourquoi il ne parvient pas à passer en mode sécurisé SSL pour payer en ligne), voire corrompre les données qu’ils contiennent, dont les clés de chiffrement des e-mails. Ne plus pouvoir lire ses e-mails peut s’avérer extrêmement ennuyeux. Cela dit, une bien faible proportion des internautes crypte ses e-mails aujourd’hui.
Télécharger le correctif… ou changer de butineur
Pour exploiter la faille, le pirate doit amener l’internaute sur une page HTML dont le code contient un ActiveX piégé. Outre le site Web à ne surtout pas visiter, l’attaquant peut espérer piéger sa victime en lui envoyant un e-mail au format HTML. Le seul moyen de se prémunir contre ce risque est de désactiver les contrôles ActiveX (Outils >Options >Internet >Sécurité >Personnaliser le niveau, puis cocher Désactiver les ActiveX). Mais nombre de fonctionnalités, dont la lecture des fichiers Flash, disparaîtront. On peut également, plus simplement, télécharger le correctif que Microsoft a mis en ligne jeudi 29 août. Ou encore utiliser un autre navigateur qu’IE qui, par défaut, n’exploitera pas les ActiveX.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…