Les internautes qui, au-delà de l’aspect pratique, consultent leur courrier électronique via une interface webmail pour des raisons de sécurité vont devoir revoir leur stratégie. La société spécialisée en sécurité GreyMagic Software a découvert le 6 mars 2004 (mais a publié l’information le 23 mars) des failles dans les filtres de sécurité des serveurs webmails. Ou, plus précisément, dans Internet Explorer (IE) exclusivement.
GreyMagic a en effet découvert que, exploitée d’une manière précise, le module HTML+TIME (qui offre des fonctions de synchronisation aux pages Web) permet de contourner les filtres des webmail chargés d’éliminer les contenus à risque. En fait, il s’agit d’une commande propre à IE (non standard, donc) de déclaration des espaces de nom (« namespace ») qui, combinée à la commande « import » introduite dans la version 5.5 du navigateur, n’est pas prise en charge par les filtres de sécurité des serveurs webmail.
Les conséquences peuvent être graves. A partir d’un simple e-mail piégé, un pirate peut lancer un script sur la machine victime dès l’ouverture du courrier infecté. Courriers électroniques, carnet d’adresses, mots de passe, numéro de carte bancaires, données personnelles en tout genre, etc., plus aucun document ou frappe au clavier n’échappe au pirate qui peut même prendre le contrôle de la machine distante.
Changez de navigateur
GreyMagic a réalisé ses tests sur les webmails de Hotmail et Yahoo. Mais l’entreprise précise que les autres services webmail sont susceptibles d’être également faillibles. Heureusement, la méthode ne semble pas avoir été exploitée massivement. Microsoft a mis à jour ses filtres sur Hotmail (deux jours après que GreyMagic a prévenu l’éditeur de l’existence du bug) et Yahoo a déclaré avoir comblé la faille récemment. Contactés, Club-Internet et Tele2 déclarent également avoir comblé la faille. Wanadoo/Voila doit mettre en place un « correctif permettant de tronquer les codes », selon la direction de la communication, avant ce vendredi soir. Les webmail de Lycos/Caramail ne sont pas vulnérables à la faille, test de GreyMagic à l’appui. Nos requêtes auprès de Free, Tiscali, AOL, NeufTelecom et Cegetel sont, pour le moment, restées sans réponse.
Solutions préconisées en cas de doute : ne pas se servir d’un webmail ou, plus simplement, ne pas utiliser Internet Explorer depuis la version 5.5 pour consulter son webmail. Et, de manière générale, ne jamais ouvrir un courriel suspect même si l’expéditeur est connu du destinataire.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…