Un espion Javascript dans Outlook et Netscape Mail

Un défaut touchant les applications de courrier électronique Microsoft Outlook et Netscape Mail vient d’être dévoilé. Il permet aux expéditeurs de savoir, tout en restant anonymes, quand les messages ont été lus et s’ils ont été renvoyés à d’autres destinataires. Selon une alerte en provenance de l’organisation américaine The Privacy Foundation, cette technologie « d’espionnage » (le terme anglais est snooping), ne peut être utilisée qu’à la condition que l’expéditeur et le destinataire utilisent Microsoft Outlook, Outlook Express ou le module de mail de Netscape 6.

Ce défaut, qualifié d’écoute clandestine, affecte les logiciels de mail capables d’afficher des courriers au format HTML et dont l’option Javascript est activée par défaut. Dans ce cas, si les messages, contenant un code Javascript spécifique, sont renvoyés vers d’autres adresses, le code caché est capable de lire le texte éventuellement ajouté pour l’envoyer vers le serveur Web du premier expéditeur. Ainsi que l’indiquent les spécialistes de la Privacy Foundation, le code Javascript en question permet également à l’envoyeur d’être alerté lorsque le message est ouvert.

Richard Smith, directeur technique de la Privacy Foundation, explique : « Ce système souligne les problèmes systématiques de vulnérabilité de la vie privée sur Internet. La possibilité d’avoir son mail sur écoute est une des plus flagrantes violations imaginables et ouvre, du coup, un champ d’action ignoble qu’il faut surveiller avec attention. »Microsoft avait publié un correctif il y a un an

Des porte-parole officiels, tant chez Microsoft qu’au sein de Netscape, ont reconnu l’existence du défaut, mais on insiste chez Netscape pour dire qu’on n’a, à ce jour, trouvé aucune preuve de l’exploitation de ce trou de sécurité. Chez Microsoft, on indique qu’un patch (un correctif) a été publié il y a un an. Netscape, pour sa part, assure qu’une mise à jour du module de mail de Netscape 6 sera disponible dans les prochains jours. L’éditeur garantit également que les utilisateurs de Netscape Communicator, la version antérieure à Netscape 6, ne courent aucun risque.

En complément, la Privacy Foundation a publié sur son site les procédures à suivre pour désactiver l’utilisation du Javascript dans les mails. L’organisation a également demandé à Microsoft et Netscape de désactiver par défaut son utilisation dans tous leurs logiciels de courrier. Selon les chercheurs, les utilisateurs de systèmes de webmail, tels que Hotmail, ne sont pas menacés, tout comme les utilisateurs d’AOL ou d’Eudora.

Différentes utilisations possibles du « virus »

Richard Smith a également tenu à avertir que ce défaut pouvait servir à « écouter » les conversations à l’intérieur d’une entreprise, puisqu’il n’est pas rare qu’un message circule entre plusieurs destinataire. Ce système peut également servir à récolter des milliers d’adresses mail grâce à certains messages qui font le tour du monde.