NAVIGATEURS - Une vulnérabilité locale peut provoquer des attaques de type phishing Nouvelle faille de sécurité dans Internet Explorer 7.0

Une nouvelle faille de sécurité dans Internet Explorer 7.0 vient d’être découverte. Il serait ainsi possible à une personne malintentionnée de provoquer facilement des attaques de type phishing à cause d’une vulnérabilité dans une des ressources locales du dernier navigateur de Microsoft. La ressource locale navcancl.htm est employée par le navigateur lorsqu’on annule l’affichage d’une page Web. Cette ressource se présente sous la forme d’un formulaire avec un lien «Rafraîchir la page». Ce lien, qui fait donc appel à la ressource locale, comporte l’URL de la page Web permettant de la régénérer en cas de clic. Le lien est de la forme res://ieframe.dll/navcancl.htm#http://www.site.com. Malgré une sécurité renforcée au niveau des ressources locales, le navigateur enlève automatiquement le chemin de URL de la ressource locale et laisse seulement l’url demandée. Un exemple: au lieu d’afficher dans la barre d’adresse res://ieframe.dll/navcancl.htm#http://www.site.com, Internet Explorer 7.0 montrera seulement http://www.site.com. Une attaque de type phishing est donc tout à fait possible ici. Une personne malintentionnée peut en effet créer un lien local à partir de la ressource navcancl.htm avec un formulaire qui montrera un lien de confiance (par exemple celui d’une banque, d’un compte mail…). Quand la victime cliquera sur le lien qui a été envoyé par cette personne malveillante, une page annulée sera montrée. La victime pensera qu’il y avait une erreur dans l’adresse du site ou un problème réseau et essayera de régénérer la page. Une fois qu’elle cliquera sur «Rafraîchir la page», le contenu fourni par la personne malveillante sera montré et la victime pensera qu’il est sur un site de confiance (car la barre d’adresse montrera l’url du site de confiance), mais il n’en sera rien. Elle divulguera donc des informations confidentielles à son insu. Microsoft a confirmé l’existence du problème dans une note d’informations. Toutefois, si cette faille de sécurité est pour le moment bien réelle, aucun patch n’est pour le moment prévu. Seul Internet Explorer 7.0 sous Windows XP et Vista est concerné.