Internet Explorer : le risque du bouton ‘Back’

Cliquer sur le bouton « Précédent » de la barre de navigation d’Internet Explorer (5.0, 5.5 et 6.0) peut se révéler dangereux pour la santé de l’ordinateur (et, à terme, celle de l’utilisateur). Cette manoeuvre revient tout simplement à ouvrir grand la porte aux attaques et autres codes malicieux. Pour s’en convaincre, il suffit de se rendre sur cette page de test, de cliquer sur le lien qui correspond à votre système (9x ou NT/2000/XP) et de faire un retour en arrière. Si le programme Winmine.exe est présent sur votre disque dur, il se lancera automatiquement (c’est le Démineur). Edifiant !

Il s’avère que les paramètres de sécurité définis dans la zone Internet d’IE sont « oubliés » lorsque l’on actionne le bouton « Précédent ». Ce n’est pas tant l’action de revenir sur la page précédente qui pose visiblement problème mais une faille de conception du navigateur. Quand celui-ci ne trouve pas la page demandée, il affiche le classique message d’erreur indiquant que « La page ne peut pas être affichée », référencée erreur 404 par le W3C. Or, cette page d’erreur opère dans la zone « Intranet Local » laquelle autorise l’exécution de script. Ainsi, n’importe quel code inséré dans la page Web visitée peut s’activer au moment du retour en arrière. Le système le laissera passer les yeux fermés.

Un problème découvert en novembre 2001

Andreas Sandblad, un étudiant suédois en informatique, est à l’origine de la découverte de la faille… en novembre 2001. Ses avertissements successifs à Microsoft sont restés vains. Jusqu’en février 2002 où Microsoft lui aurait répondu que, pour exploiter la faille, il fallait que l’auteur malveillant « oblige » l’internaute à faire un retour en arrière, ce qui ne constituerait pas un scénario à risque pour les utilisateurs qui se servent correctement de leur navigateur. Ces derniers seront heureux d’apprendre que l’usage du bouton « Précédent » n’est pas un réflexe normal lorsque l’on tombe sur une page « Erreur 404 ». Face à une telle attitude qui frise le mépris, on comprend pourquoi Andreas Sandblad a finalement publié sa découverte sans attendre que l’éditeur de Windows daigne sortir un correctif.

Pour pallier le bug, plusieurs solutions s’offrent à l’internaute. La première est de ne pas utiliser IE. Si ce n’est pas possible, ne jamais cliquer sur le bouton « Précédent ». Un peu restrictif d’autant que l’on n’est jamais à l’abris d’un réflexe de type pavlovien. Autre solution, installer Windows sur une autre partition que le disque C:. Les scripts malicieux ont tendance à s’appuyer sur les chemins des installations « par défaut » pour fonctionner. Il suffit donc de changer ses références pour l’annihiler. Au delà, et en attendant le patch de Microsoft (qui ne devrait plus tarder après cette vague de publicité), il reste à prier pour que son anti-virus soit capable de détecter cette intrusion non autorisée. Et de s’assurer que les sites visités sont dignes de confiance.