Internet Explorer 11 affecté par une faille critique
Qui rendrait les sites Web « vulnérables aux attaques XSS »
Le 2015-02-03 21:37:27, par Amine Horseman, Expert éminent sénior
Une nouvelle faille de sécurité vient d’être découverte dans Internet Explorer 11. Celle-ci serait assez inquiétante, puisqu’elle permettrait de contourner une des techniques de sécurité les plus utilisées par les navigateurs web, connue sous le nom de : Same-Origin Policy.
Le Same-Origin Policy a pour but d’isoler les scripts d’une page web de façon à ce qu’ils ne puissent pas accéder au contenu d’une autre page web n’ayant pas la même origine. C’est ce qui empêche, par exemple, un site d’accéder aux cookies et aux informations de session d’un autre site ouvert sur le même navigateur.
David Leo, le chercheur qui avait découvert cette faille, avait publié le samedi dernier sur SecureLists une démonstration de l’attaque où il utilise le site dailymail.co.uk comme cible pour y injecter le contenu d’un autre site tout en faisant croire à Internet Explorer qu’il s’agit d’un contenu interne. Du coup, le navigateur continue à indiquer dailymail.co.uk dans la barre d’adresse en trompant l’utilisateur. Le hacker pourrait donc insérer des scripts de phishing très crédibles pour récupérer le mot de passe de l’internaute ou son numéro de carte bancaire par exemple.
Plus inquiétant encore, un ingénieur en sécurité chez Tumblr du nom de Joey Fowler publie un autre post sur SecureLists où il déclare que l'attaque fonctionne également si le site ciblé utilise le protocole HTTPS (censé être plus sécurisé que le protocole HTTP). Au fait, selon les tests qu’il aurait effectués, cette faille d’Internet Explorer rend tous les sites vulnérables aux attaques XSS, sauf ceux qui utilisent l’en-tête X-Frame-Options avec les valeurs « Deny » ou « Same-Origin ».
Source : SecureLists
Et vous ?
Le Same-Origin Policy a pour but d’isoler les scripts d’une page web de façon à ce qu’ils ne puissent pas accéder au contenu d’une autre page web n’ayant pas la même origine. C’est ce qui empêche, par exemple, un site d’accéder aux cookies et aux informations de session d’un autre site ouvert sur le même navigateur.
David Leo, le chercheur qui avait découvert cette faille, avait publié le samedi dernier sur SecureLists une démonstration de l’attaque où il utilise le site dailymail.co.uk comme cible pour y injecter le contenu d’un autre site tout en faisant croire à Internet Explorer qu’il s’agit d’un contenu interne. Du coup, le navigateur continue à indiquer dailymail.co.uk dans la barre d’adresse en trompant l’utilisateur. Le hacker pourrait donc insérer des scripts de phishing très crédibles pour récupérer le mot de passe de l’internaute ou son numéro de carte bancaire par exemple.
Plus inquiétant encore, un ingénieur en sécurité chez Tumblr du nom de Joey Fowler publie un autre post sur SecureLists où il déclare que l'attaque fonctionne également si le site ciblé utilise le protocole HTTPS (censé être plus sécurisé que le protocole HTTP). Au fait, selon les tests qu’il aurait effectués, cette faille d’Internet Explorer rend tous les sites vulnérables aux attaques XSS, sauf ceux qui utilisent l’en-tête X-Frame-Options avec les valeurs « Deny » ou « Same-Origin ».
Source : SecureLists
Et vous ?
-
JayGrMembre actifJe ne vais pas me faire que des amis je le sent...
Mais je n'utilise plus internet explorer depuis que les modems 56k ne sont plus en vente. Non plus sérieusement Internet Explorer est une passoire... Tout le monde sait ça. C'est lent c'est moche (j'y reviens à la fin de mon message).
Et toutes les personnes (particuliers, amis, famille etc...) chez qui j'interviens (aide, dépannage...) passe à Chrome ou Firefox après mon passage (toutes façon Chrome ou Firefox même combat...).
Internet Explorer est mort-né, version 11 ou autre.
Les entreprises sont malheureusement soumises à de nombreuses obligations et on se retrouve tous à devoir télécharger un firefox/chrome/opéra portable pour naviguer au taf.
Point positif (parce que casser les jambes de Microsoft c'est bien mais bon...). Je suis curieux et je trouve que les toutes dernières versions sont plus ergonomiques.
Comme vous l'aurez compris, cette faille ne me surprend pas et je ne suis pas un fervent défenseur du navigateur...
@+le 04/02/2015 à 11:45 -
JaroddMembre expérimentéle 04/02/2015 à 21:44
-
lahdebMembre du ClubIE = lenteur + bcp de plantations , la seule utilité était de l'utiliser pour installer chrome ou firefox, je pense pas que la version 11 aura quelque chose de particulier, pour les failles de sécurité c'est normale de les trouver par tout (mêmes firefox et chrome avaient plusieurs failles de sécurité), ce qui compte ce sont les mesures à prendre pour les corriger, et la 'souplesse' du navigateur face aux demandes et besoins des utilisateurs,!le 04/02/2015 à 15:14
-
AldanienCandidat au ClubFranchement je voie pas l’intérêt d'utiliser IE de nos jours, et comme dit la blague :
à quoi sert IE ?
à télécharger un autre navigateur comme Firefoxle 04/02/2015 à 23:04 -
ShutyMembre éprouvéEffectivement IE reste aussi selon moi une passoire à failles. Après il faut relativiser... Il fut un temps où l'on disait que windows XP était truffé de failles, mais il ne faut pas oublier que c'était l'OS le plus présent sur le marché... Les hackers avaient dont tout intérêt à trouver une faille sur XP plutôt que Linux car les utilisateurs étaient plus nombreux.
Ici, c'est pareil...le 04/02/2015 à 14:57 -
eldran64Membre extrêmement actifJe suppose que tu voulais dire "plantages"
Plus sérieusement, IE est peut être une passoire, peut être également le moins respectueux des standards du web. Mais aujourd'hui, je met au défis l'utilisateur lambda de montrer qu'il est moins bien qu'un autre navigateur. Depuis IE6, 'crosoft a fait pas mal d'améliorations sur son navigateur. De plus, avec Spartan, ils devraient aussi se libérer de vieilles casseroles...le 04/02/2015 à 15:49 -
yahikoRédacteur/ModérateurHeureusement que Safari d'Apple va nous sauver tous... ou pasle 04/02/2015 à 18:31
-
clementmarcotteInactifLe Patch Tuesday est dans même pas une semaine. On va voir s'ils ont fait quelque chose avec ça.le 04/02/2015 à 22:05
-
lpaMembre du ClubJe ne comprend pas bien comment le navigateur peut ouvrir des failles de sécurité sur un site internet ?
Le problème ne viendrait pas plutôt du protocole http ?le 05/02/2015 à 9:01 -
adiGubaExpert éminent séniorSi cela venait du protocole HTTP alors tous les navigateurs seraient concerné.
Là le problème vient du fait qu'une faille permet à un site de modifier le contenu d'un autre site, ce qui est normalement impossible.
a++le 05/02/2015 à 10:20