Des chercheurs en sécurité expliquent avoir découvert une nouvelle vulnérabilité au sein du navigateur Internet Explorer.
L'équipe de Spider.io, proposant une solution d'analyse publicitaire, explique avoir averti Microsoft au 1er octobre d'une nouvelle vulnérabilité au sein d'Internet Explorer. Celle-ci affecte les version 6 à 10 du navigateur et permet à une personne malintentionnée de suivre le mouvement de la souris d'une victime à l'écran, même lorsqu'IE est minimisé.
Spider.io explique que certains sites Internet sécurisés - tels que ceux des banques - proposent un clavier virtuel pour que les internautes puissent s'authentifier. Cette méthode permet de sécuriser les informations confidentielles de l'utilisateur même si son ordinateur est infecté d'un keylogger mémorisant les frappes de son clavier physique. La vulnérabilité en question rendrait ainsi inutile ce type de mécanisme. Les experts expliquent qu'il est possible d'enregistrer le curseur de la souris d'un internaute en exploitant une simple publicité insérée sur une page web. « N'importe quel site, de YouTube au New York Times, peut de venir un vecteur potentiel d'attaque », est-il ainsi expliqué. Cette faille serait d'ailleurs déjà utilisée par deux sociétés d'analyse publicitaire.
Le centre de sécurité de Microsoft aurait bien pris connaissance du problème mais ne prévoirait pas de publier un patch dans l'immédiat. Spider.io a donc décidé de rendre cette vulnérabilité publique en proposant un site de démonstration. Voici ci-dessous une vidéo illustrant le problème :
Mise à jour :
Dans un billet publié sur le blog d'Internet Explorer, le vice-président du produit Dean Hachamovitch explique que Microsoft a bien pris connaissance du problème et planche actuellement sur une solution. L'éditeur de Redmond précise par ailleurs que si un hacker peut voir où se trouve la souris, il ne peut en revanche prendre connaissance du contenu de la page et donc des caractères d'un clavier virtuel. « Nous ne pensons pas qu'il y a des risques majeurs pour le consommateur à ce stade », explique M. Hachamovitch en précisant qu'il n'y a eu aucun retour d'internaute ayant vu ses données personnelles compromises.
Dans un billet publié sur le blog d'Internet Explorer, le vice-président du produit Dean Hachamovitch explique que Microsoft a bien pris connaissance du problème et planche actuellement sur une solution. L'éditeur de Redmond précise par ailleurs que si un hacker peut voir où se trouve la souris, il ne peut en revanche prendre connaissance du contenu de la page et donc des caractères d'un clavier virtuel. « Nous ne pensons pas qu'il y a des risques majeurs pour le consommateur à ce stade », explique M. Hachamovitch en précisant qu'il n'y a eu aucun retour d'internaute ayant vu ses données personnelles compromises.
