200 sites Web piratés à cause de la nouvelle faille d’Internet Explorer

Cloud

Selon Websense, un nombre grandissant de sites Web tout à fait recommandables permettraient d’exploiter la vulnérabilité critique du navigateur.

Selon la firme de sécurité IT Websense, plus de 200 sites Web (ou adresses Internet plus exactement) auraient été piratés pour tirer partie de la faille critique non corrigée d’Internet Explorer. Cette faille permet d’exécuter des scripts distants sur la machine de la victime (voir édition du 23 mars 2006).

Selon Websense, ces scripts téléchargent le plus souvent un cheval de Troie qui va à son tour permettre l’installation de différents agents malveillants (spyware, serveurs de spam, etc.).

Pour tirer parti de la faille, les attaquants doivent convaincre les internautes de se rendre sur des pages en ligne expressément piégées. Ce qui demande une interaction de la part de l’utilisateur et un obstacle à la contamination. Dans son bulletin de sécurité (917077), Microsoft estime qu’un attaquant « n’aurait aucun moyen de forcer un utilisateur à se rendre sur un site malveillant ».

Désactiver les scripts ou changer de navigateur

Or, il apparaît que nombre des sites Web malveillants en question affichent une image tout à fait honorable et sont régulièrement fréquentés par des milliers d’internautes. A travers son blog, Websense présente la capture d’écran d’un site consacré au golf. On est loin des pages de hackers, pornographiques ou de téléchargement illégaux de contenus habituellement utilisés comme vecteur de contamination. Selon d’autres sources, des sites de réservation de voyage en ligne, de conseils financiers ou d’assurances ont également été infectés.

La faille d’Internet Explorer est bel et bien exploitée. Pour s’en prémunir, Microsoft recommandait de désactiver les fonctions d’interprétation des scripts du navigateur (ActiveScripting). Mais cette solution risque de rendre inopérant nombre de services Web. Microsoft conseille également d’utiliser Internet Explorer 7 bêta 2 qui ne serait pas affecté par la faille. Mais l’instabilité du navigateur risque de rebuter plus d’un internaute.

L’éditeur ne conseille évidemment pas d’utiliser un autre navigateur comme Firefox ou Opera, non affectés par la vulnérabilité. Cela reste pour l’heure la meilleure solution en attendant le correctif que Microsoft pourrait ne pas diffuser avant son prochain bulletin mensuel de sécurité, le 11 avril prochain.

Pour débugger IE7, Microsoft s’inspire du libre
« Après bien des discussions, nous avons décidé que les gens auraient le droit et devraient avoir un accès public pour nous faire par des retours sur le produit ou faire des suggestions », écrit l’équipe de développement d’Internet Explorer 7 dans le blog qui lui est consacré. Loin de s’en cacher, l’initiative s’inspire directement de BugZilla, l’espace public déployé par la Fondation Mozilla pour faire la chasse aux bugs de ses logiciels. Internet Explorer Feedback permet donc aux internautes d’« exprimer leurs impressions sur IE7 et préparer le terrain pour les futures versions d’IE ». La solution s’appuie sur la plate-forme Microsoft Connect qui nécessite l’ouverture d’un compte Passeport. Vous avez dit « accès public »?