|
Menu |
|
Site optimisé pour :
|
|
Qui est en ligne ? |
|
|
Statistiques |
|
Sur le Forum ZenZone
Membres : 3774
Dernier Inscrit :
nicolas78
79617 Messages dans 9887 Sujets.
|
|
ZenZone IRC |
|
Total : 3287300
Annee : 132222
Mois : 6190
Jour : 833
18.220.94.189
|
|
[info]Internet Explorer + webmail = danger ! |
|
|
Auteur |
Message |
Week54
Membre d'Honneur
Inscrit le: 18 Juil 2003 Messages: 1928 Localisation: Lorraine
Citer
|
Posté le: Sam Mar 27, 2004 09:20
Sujet du message: [info]Internet Explorer + webmail = danger !
|
|
|
Internet Explorer + webmail = danger
Les internautes qui, au-delà de l'aspect pratique, consultent leur courrier électronique via une interface webmail pour des raisons de sécurité vont devoir revoir leur stratégie. La société spécialisée en sécurité GreyMagic Software a découvert le 6 mars 2004 (mais a publié l'information le 23 mars) des failles dans les filtres de sécurité des serveurs webmails. Ou, plus précisément, dans Internet Explorer (IE) exclusivement.
GreyMagic a en effet découvert que, exploitée d'une manière précise, le module HTML+TIME (qui offre des fonctions de synchronisation aux pages Web) permet de contourner les filtres des webmail chargés d'éliminer les contenus à risque. En fait, il s'agit d'une commande propre à IE (non standard, donc) de déclaration des espaces de nom ("namespace") qui, combinée à la commande "import" introduite dans la version 5.5 du navigateur, n'est pas prise en charge par les filtres de sécurité des serveurs webmail.
Les conséquences peuvent être graves. A partir d'un simple e-mail piégé, un pirate peut lancer un script sur la machine victime dès l'ouverture du courrier infecté. Courriers électroniques, carnet d'adresses, mots de passe, numéro de carte bancaires, données personnelles en tout genre, etc., plus aucun document ou frappe au clavier n'échappe au pirate qui peut même prendre le contrôle de la machine distante.
Changez de navigateur
GreyMagic a réalisé ses tests sur les webmails de Hotmail et Yahoo. Mais l'entreprise précise que les autres services webmail sont susceptibles d'être également faillibles. Heureusement, la méthode ne semble pas avoir été exploitée massivement. Microsoft a mis à jour ses filtres sur Hotmail (deux jours après que GreyMagic a prévenu l'éditeur de l'existence du bug) et Yahoo a déclaré avoir comblé la faille récemment. Contactés, Club-Internet et Tele2 déclarent également avoir comblé la faille. Wanadoo/Voila doit mettre en place un "correctif permettant de tronquer les codes", selon la direction de la communication, avant ce vendredi soir. Les webmail de Lycos/Caramail ne sont pas vulnérables à la faille, test de GreyMagic à l'appui. Nos requêtes auprès de Free, Tiscali, AOL, NeufTelecom et Cegetel sont, pour le moment, restées sans réponse.
Solutions préconisées en cas de doute : ne pas se servir d'un webmail ou, plus simplement, ne pas utiliser Internet Explorer depuis la version 5.5 pour consulter son webmail. Et, de manière générale, ne jamais ouvrir un courriel suspect même si l'expéditeur est connu du destinataire.
Christophe Lagane _________________ This misuse of trust will forever stain the pages of history,
Echoing the exploitation and the frailty of decent
Men carried away by nurtured rancour...
Perpetual distrust fed by a belief
In the malevolence of the others
|
|
|
|
|
|
Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|
|
|
|