Pas de rustine pour la faille Internet Explorer URL Spoofing
|
On l’espérait avant la fin de l’année, on en rêvait pour la rentrée… selon toute probabilité, la série de correctifs Microsoft attendue pour la semaine prochaine ne comportera pas de rustine corrigeant le fameux « bug 0x01 ». Rappelons que ce problème permet à un site escroc de forger de toute pièce un pseudo site afin de capturer au vol des informations privées–bancaire, de payement distant, de confirmation de mot de passe pour accession à un intranet etc- .Un rapide historique de cette faille de sécurité avait déjà fait l’objet d’articles dans nos colonnes.
|
|
Le trou en question sera colmaté grâce au SP2, assurent les premiers « beta testeurs » du prochain Service Pack pour Windows XP. Or, malgré les assurances d’un cycle d’évaluation rigoureux, l’installation d’un SP n’est jamais immédiat… bien moins immédiat de toute manière qu’une rustine publiée sur le technet. Pis encore, selon les résultats des tests de non-régression, il arrive parfois que l’installation desdits SP ne s’opère jamais. Ajoutons à cela qu’une grande majorité d’usagers refuseront de télécharger ce Service Pack salvateur. Une majorité d’utilisateurs du secteur grand-public accédant à Internet via modem, par exemple… la taille des SP étant souvent décourageante. Les postes « internes » de bon nombre d’entreprises, ensuite, stations de travail que l’on croit trop souvent protégées des attaques externes par la simple présence d’un firewall ou qui ne sont pas gérées par un serveur SUS… les cas de figure sont innombrables. En un mot comme en cent, il sera, le mois prochain, toujours possible de violer les crédences d’un informatisé « Microsoft » avec un site-leurre et une page factice (le phishing).
Or, c’est précisément le créneau des attaques en phishing qui semble connaître, ces temps ci, le plus de succès et le taux de croissance le plus important (voir ci-après l’étude de TrueSecure, ou les articles alarmistes de News.com ainsi que l’analyse de SMH ). Le trou de sécurité en question est tellement énorme qu’il a spontanément provoqué la floraison de « rustines tierces parties », un fait totalement inhabituel dans la sphère Microsoft. Faut-il espérer, pour que bronche le Response Team de « Corp », que la victime s’appelle American Express ? Doit on attendre que les « exploits » liés à cette faille se comptent en pertes dépassant le million d’Euros ? Les chiffres avancés par les deux quotidiens australiens susmentionnés sont édifiants et laissent entendre que l’on peut s’attendre au pire. Chaque jour qui passe alourdit la responsabilité de Microsoft, chaque minute qui s’écoule rend l’éditeur coupable de collaboration passive avec les escrocs du Net.
Bulletin de Sécurité : Internet Explorer URL Parsing and Spoofing Vulnerability
Source : Réseaux & Télécoms (Par Marc Olanié)
|