Internet Explorer + webmail = danger

Les internautes qui, au-delà de l’aspect pratique, consultent leur courrier électronique via une interface webmail pour des raisons de sécurité vont devoir revoir leur stratégie. La société spécialisée en sécurité GreyMagic Software a découvert le 6 mars 2004 (mais a publié l’information le 23 mars) des failles dans les filtres de sécurité des serveurs webmails. Ou, plus précisément, dans Internet Explorer (IE) exclusivement.

GreyMagic a en effet découvert que, exploitée d’une manière précise, le module HTML+TIME (qui offre des fonctions de synchronisation aux pages Web) permet de contourner les filtres des webmail chargés d’éliminer les contenus à risque. En fait, il s’agit d’une commande propre à IE (non standard, donc) de déclaration des espaces de nom (« namespace ») qui, combinée à la commande « import » introduite dans la version 5.5 du navigateur, n’est pas prise en charge par les filtres de sécurité des serveurs webmail.

Les conséquences peuvent être graves. A partir d’un simple e-mail piégé, un pirate peut lancer un script sur la machine victime dès l’ouverture du courrier infecté. Courriers électroniques, carnet d’adresses, mots de passe, numéro de carte bancaires, données personnelles en tout genre, etc., plus aucun document ou frappe au clavier n’échappe au pirate qui peut même prendre le contrôle de la machine distante.

Changez de navigateur

GreyMagic a réalisé ses tests sur les webmails de Hotmail et Yahoo. Mais l’entreprise précise que les autres services webmail sont susceptibles d’être également faillibles. Heureusement, la méthode ne semble pas avoir été exploitée massivement. Microsoft a mis à jour ses filtres sur Hotmail (deux jours après que GreyMagic a prévenu l’éditeur de l’existence du bug) et Yahoo a déclaré avoir comblé la faille récemment. Contactés, Club-Internet et Tele2 déclarent également avoir comblé la faille. Wanadoo/Voila doit mettre en place un « correctif permettant de tronquer les codes », selon la direction de la communication, avant ce vendredi soir. Les webmail de Lycos/Caramail ne sont pas vulnérables à la faille, test de GreyMagic à l’appui. Nos requêtes auprès de Free, Tiscali, AOL, NeufTelecom et Cegetel sont, pour le moment, restées sans réponse.

Solutions préconisées en cas de doute : ne pas se servir d’un webmail ou, plus simplement, ne pas utiliser Internet Explorer depuis la version 5.5 pour consulter son webmail. Et, de manière générale, ne jamais ouvrir un courriel suspect même si l’expéditeur est connu du destinataire.