Vulnérabilités

Les webmails sont vulnérables... lorsque utilisés avec Internet Explorer !

Par Jerome Saiz, le 23 mars 2004 à 14:26:00.

Une méthode propre à Internet Explorer permet de contourner les filtres mis en place par de nombreux webmails, dont Yahoo!. Il devient alors possible de faire exécuter un script sur l'ordinateur de la victime en lui envoyant un simple email. Bilan d'une telle attaque lorsqu'elle est réussie : vol des courriers, du carnet d'adresse ou même exécution d'un ver.

L'attaque est particulièrement sournoise : il suffit d'exploiter une obscure caractéristique d'Internet Explorer (le module HTML+TIME) afin de faire exécuter un script à l'ouverture d'un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d'adresse ou même faire télécharger un ver afin d'infecter le PC, ceci en conjonction avec d'autres failles connues.
Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer.
Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi.

Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).
Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.

Plus d'information

L'alerte de Greymagic (en Anglais)

Vulnérabilité majeure pour Internet Explorer (14 sept 2006)
Faille critique non corrigée pour Internet Explorer. (31 août 2004)
Cinq failles critiques ignorées dans Internet Explorer. (25 nov 2003)
Une barre anti-arnaque pour Internet Explorer (31 déc 2004)
Une (autre) faille critique pour Internet Explorer. (01 avril 2002)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres