Internet Explorer fuit-il des informations sensibles?

Spider.io, une entreprise qui aide les clients à distinguer entre les visiteurs de sites Web humains et les activités automatisées de bot, prétend avoir découvert une faille qui affecte Internet Explorer le navigateur phare actuel de Microsoft, versions 6 à 10. La vulnérabilité permettrait de suivre la position du curseur de la souris partout où il se trouve à l'écran, même si IE est réduit.

Spider.io a révélé la vulnérabilité à Microsoft le 1er octobre 2012, mais elle n'a pas été prise en compte dans la mise à jour de sécurité la plus récente pour Internet Explorer. Spider.io affirme que la faille est activement exploitée, et affirme que le Centre de recherche sur la sécurité Microsoft (MSRC) a reconnu la vulnérabilité, mais n'a aucun plan immédiat pour la corriger.

[Plus d'informations: Comment supprimer les logiciels malveillants de Windows PC]

Un bogue dans IE peut laisser des informations potentiellement sensibles

J'ai demandé à Microsoft sa position sur la vulnérabilité présumée. Un porte-parole m'a envoyé cette réponse officielle: «Nous étudions actuellement cette question, mais à ce jour, il n'y a aucun rapport d'exploits actifs ou de clients qui ont été affectés. Nous fournirons des informations supplémentaires dès qu'elles seront disponibles et prendrons les mesures appropriées pour protéger nos clients. "

Jason Miller, responsable de la recherche et du développement pour VMware, se demande si le problème est un" bug "ou une" fonctionnalité ". "On pourrait se demander s'il s'agit d'une vulnérabilité ou d'une fonctionnalité introduite dans le navigateur pour aider à établir des mesures d'utilisation. Peu importe, les chercheurs ont prouvé que ce "problème" pourrait être utilisé avec malveillance. "

J'ai parlé avec le directeur technique Qualys Wolfgang Kandek. Il s'est dit préoccupé par les implications d'une telle vulnérabilité pour les services bancaires en ligne. De nombreuses banques ont mis en place des claviers virtuels à l'écran pour saisir les informations d'identification des comptes afin d'éviter les attaques de keylogger traditionnelles. Andrew Storms, directeur des opérations de sécurité pour nCircle, est d'accord. "Cet exploit rend cette annulation nulle et non avenue - il a l'effet d'un enregistreur de frappe sur les claviers virtuels. Les attaquants pourraient potentiellement capturer les clics liés aux identifiants bancaires en utilisant cet exploit et ce n'est pas une bonne nouvelle pour les 63 millions d'Américains qui effectuent des transactions bancaires en ligne. "

Alex Horan, chef de produit chez CORE Security peut ne pas être si sûr. "Cela renforce également le fait que le simple fait de visiter YouTube ou le New York Times ne signifie pas que tout le contenu de ce site est détenu ou géré par eux - diffuser des annonces malveillantes sur des sites grand public fiables est un bon moyen d'exposer votre attaque.

Horan suggère d'abandonner IE jusqu'à ce que le problème soit corrigé par Microsoft.

Storms dit: «Si cette vulnérabilité est confirmée, elle risque d'exiger un correctif hors bande. et c'est quelque chose que tout le monde voudrait éviter cette saison des fêtes. "