Passer au contenu

Microsoft contraint de révéler une faille de sécurité

Une nouvelle faille dans Internet Explorer et dans Outlook Express permet à un pirate de récupérer les cookies d’un utilisateur. En attendant la sortie d’un correctif, Microsoft conseille à tous de changer les paramètres de sécurité des logiciels.

Le 8 novembre dernier, Microsoft reconnaissait l’existence d’une faille de sécurité dans Internet Explorer versions 5.5 et 6, ainsi que dans Outlook Express. Cette faille permet d’accéder aux cookies présents sur l’ordinateur d’un internaute et de les modifier. Une annonce surprenante, car il n’est pas dans les habitudes de l’éditeur de signaler une telle défaillance alors qu’aucun correctif n’est disponible.C’est la société finlandaise Oy Online Solutions Ltd, spécialiste de la sécurité, qui découvre le problème, par hasard, le 1er novembre, en effectuant des tests sur son propre serveur.Cette dernière prévient donc immédiatement Microsoft. Cinq jours plus tard, elle fait part à l’éditeur de Redmond de sa volonté de rendre le problème public. En effet, selon elle, même si le correctif n’est pas prêt, les utilisateurs peuvent quand même se protéger simplement en changeant les paramètres de leur navigateur (voir détail dans l’encadré en fin d’article). La navigation sur le Web sera moins agréable mais, au moins, les internautes seront prémunis contre d’éventuels problèmes.Mais Microsoft demande à Oy Online Solutions Ltd de ne pas publier l’information avant la sortie du correctif, sous peine de ne pas la créditer de la découverte. Finalement, le 8 novembre, la société finlandaise préfère alerter la presse et les forums spécialisés. Elle estime qu’une semaine aurait dû suffire pour que les “50 000 développeurs travaillant chez Microsoft”viennent à bout du problème. Elle choisit donc de privilégier la sécurité des internautes à sa notoriété,Microsoft se décide alors à publier son propre bulletin d’information dans lequel il qualifie Oy Online Solutions d’irresponsable. Cette dernière, convaincue d’avoir bien fait, s’explique longuement sur son site Web, et pose la question sous forme de sondage pour savoir laquelle des deux sociétés est irresponsable.Cette faille, qui s’active si le surfeur passe sur une page Web piégée, a été signalée sur les versions 5.5 et 6 d’Internet Explorer. Les autres versions du navigateur sont peut-être sensibles au problème, mais Microsoft n’assurant plus leur support, elles n’ont pas été testées.Le préjudice pour l’internaute piraté peut varier selon le type de cookies interceptés 😕 certains contiennent des informations peu sensibles utilisées par les sites pour la gestion de la publicité ou pour leurs statistiques ;? d’autres sont utilisés pour l’authentification des internautes. Par exemple, lors de la consultation d’un webmail de type Yahoo! ou Hotmail, un cookie est installé sur la machine de l’utilisateur. Il sera alors reconnu tout le temps de sa session, ce qui lui évite d’avoir à donner son login et son mot de passe à chaque page. Si un pirate récupère le cookie, il pourra alors se faire passer pour le propriétaire légitime de la boîte aux lettres.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Karine Solovieff