Tous les navigateurs vuln�rables aux vrais faux pop-up

Tous sont concern�s, mais certains (comme Safari et Firefox) avaient d�j� un antidote.
Avec cette technique, le "phishing" se d�place directement sur le web pour arnaquer l'internaute via des pop-up factices.
Sans m�me avoir besoin d�exploiter une quelconque faille de s�curit�.

Des pirates informatiques pourraient d�tourner une fonction int�gr�e dans tous les logiciels de navigation web actuels afin de duper les internautes lorsqu�ils transmettent des informations sensibles.
Cet avertissement lanc� le 8 d�cembre �mane de Secunia, une soci�t� danoise sp�cialis�e dans la s�curit� des technologies internet.

Le probl�me, qu'elle d�crit sur son site (en anglais) de mani�re tr�s didactique, permettrait � des escrocs en ligne d�afficher sur un site l�gitime (une banque ou un cybermarchand) une fen�tre pop-up dont ils contr�lent le contenu, tout en laissant croire � l�internaute, qui consulte par exemple son compte bancaire, qu'il a affaire � son prestataire habituel.

Baptis�e "injection de fen�tre" (window injection), cette manipulation n'est pas en soi une faille de s�curit�, mais plut�t une arnaque de type "phishing" (dont le principe est d'obtenir des donn�es personnelles d'une personne, via un e-mail qui a l'apparence d'un courrier officiel).
Dans sa d�mo, Secunia utilise comme exemple le site de la Citibank: un clic sur l�image ouvre une fen�tre pop-up, qui est contr�l�e par le programme de Secunia.

Cette manipulation est a priori destin�e � berner par d�fault tous les navigateurs du march� (de Internet Explorer de Microsoft � Mozilla et Firefox de la Fondation Mozilla, en passant par Opera, le logiciel libre Konqueror, et enfin Safari d�Apple Computer).

�Aucun navigateur n�avertit, ni ne v�rifie, si l�autre site [celui contr�l� par les pirates, Ndlr] est autoris� � modifier le contenu de la fen�tre pop-up�, explique Thomas Kristensen, responsable technologique chez Secunia, dans un courriel adress� � CNET News.com.
�Si la fen�tre pop-up est ouverte parce que l�utilisateur a cliqu� sur une fonction sp�cifique, il n�a aucune raison de suspecter que le contenu de cette fen�tre a �t� modifi� par un site malveillant.�

La solution imm�diate est de bloquer par d�faut l'apparition de pop-up sur son navigateur.
Secunia avait d�j� alert� les internautes sur cette technique de "window injection" en juillet 2004.
Apple a pris en compte ce probl�me dans une mise � jour de s�curit� datant du 2 d�cembre.
Quant � Firefox, outre le module "anti-pop-up" activ� par d�faut, les utilisateurs peuvent installer l'extension Spoofstick, qui affiche sur la barre d'�tat le nom de domaine exact o� se trouve la fen�tre, ce qui permet de v�rifier si l'on a �t� redirig� sur un site ill�gitime.

Piratage d�une fonctionnalit� l�gitime

Pour Microsoft, l�attaque utilise une fonctionnalit� dite �l�gitime� des navigateurs pour duper les utilisateurs.
�Nos premi�res recherches ont montr� que ce rapport d�crit un comportement intrins�que de tous les navigateurs populaires. Celui-ci autorise un site web � ouvrir ou r�utiliser une fen�tre sans afficher la barre d�adresse. Il s�agit d�un m�canisme de confiance int�gr� aux navigateurs�, a indiqu� la firme de Redmond dans une d�claration �crite transmise � CNET News.com.

Le piratage d�une fonctionnalit� l�gitime est la derni�re menace de s�curit� en date qui pourrait aider les escrocs en ligne � "phishers" � � d�rober des informations d�identit� aux internautes.
Le mois dernier, des intrus ont forc� la s�curit� d�au moins un serveur de l�agence de publicit� en ligne Falk. Ils ont alors utilis� cet ordinateur pour attaquer les clients de ses services, dont le site d�informations The Register.

Microsoft insiste sur le fait que les utilisateurs de Windows XP qui ont install� Service Pack 2 (SP2) disposent de quelques outils "anti-phishing". Toute fen�tre qui demande des informations personnelles, financi�res ou de connexion, peuvent en effet �tre envoy�es chiffr�es et afficher une ic�ne de serrure dans la barre d��tat au bas de la fen�tre.
�Certaines arnaques par phishing ont pr�sent� aux utilisateurs une fausse ic�ne de cadenas dans une fausse barre d��tat au bas de la fen�tre du navigateur�, reprend la d�claration de Microsoft.
�Internet Explorer [version] XP SP2 affichera toujours la vraie barre d��tat, de sorte que les utilisateurs puissent faire la distinction entre une fausse ic�ne de cadenas et une vraie.�

Toutefois, Secunia r�torque que les principaux �diteurs de navigateurs ont rat� le coche. La plupart des utilisateurs ne remarqueront pas d'aussi petits d�tails s�ils croient �tre sur un site l�gitime.
�Ils n�ont pas r�ussi � prendre en compte l��volution des activit�s malveillantes sur internet�, d�plore Kristensen.
�Ils n'ont pas non plus assez pris en compte le fait que les failles de s�curit�, qui peuvent �tre exploit�es pour installer automatiquement du code malveillant, ne sont pas le seul point n�vralgique [sur le web].�

Par cons�quent Secunia conseille aux internautes de n�avoir qu�une seule fen�tre ouverte lorsqu�ils sont sur des sites internet qui seront amen�s � leur demander des informations personnelles, comme les banques et les boutiques en ligne.

Post� le: Mer Jan 05, 2005 09:27 Sujet du message:

par prudence j'ai quand meme install� cette nouvelle toolbar
on ne sait jamais
_________________
respecter les autres c'est se respecter soi m�me.

http://i16.servimg.com/u/f16/11/21/74/24/sigmou10.jpg

Post� le: Mer Jan 05, 2005 10:18 Sujet du message:

Merci pour l'info, Titine