Sécurité

La faille d’Internet Explorer permet aux sites Web de suivre chacun de vos mouvements de souris, et MS refuse de la corriger

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Les failles de sécurité sont inévitables dans les systèmes d’exploitation et les applications. Les logiciels modernes sont incroyablement complexes et même les meilleurs développeurs du monde ne sont pas parfaits. La façon dont le public réagit aux failles de sécurité dépend en grande partie de la façon dont le développeur réagit à l’exploit. S’il répond rapidement en promettant de corriger la faille, puis fournit le correctif en temps opportun, tout est pardonné la plupart du temps. Malheureusement, un exploit trouvé dans Internet Explorer qui suit les mouvements de la souris et certaines pressions sur les touches – même lorsque IE est minimisé ou que l’onglet est en arrière-plan – n’est pas corrigé par Microsoft.

Une société d’analyse Web a alerté Microsoft à cette bizarrerie en octobre. La vulnérabilité de sécurité affecte toutes les versions d’Internet Explorer de la version 6 à 10. Bien que Microsoft ait reconnu le problème, il ne sera pas corrigé dans un proche avenir. C’est un problème, non seulement pour des raisons évidentes de confidentialité, mais aussi pour la sécurité. Certaines personnes utilisent des claviers logiciels sur leur écran spécifiquement pour réduire le risque que leurs mots de passe soient suivis par un enregistreur de frappe. Avec cette faille, des personnes peu scrupuleuses pourraient enregistrer les mouvements de souris utilisés pour entrer un mot de passe simplement en chargeant une page Web en arrière-plan. Microsoft préconise même les avantages de sécurité de l’utilisation de systèmes de mot de passe basés sur des souris avec sa fonction de mot de passe image dans Windows 8. Oups.

Psssssst :  Les passionnés de Raspberry Pi peuvent utiliser Cortana dans la mise à jour des créateurs pour Windows 10 IoT Core

Dans cette démo, les possibilités de mappage du mouvement du curseur sont présentées assez clairement. La vidéo ci-dessous montre même comment une simple analyse des mouvements de la souris peut être utilisée pour recueillir des informations privées telles que des mots de passe ou des numéros de téléphone. Encore plus effrayant est la révélation qu’au moins deux sociétés d’analyse publicitaire utilisent déjà cet exploit pour suivre les utilisateurs. Si vous n’aviez pas peur de les annonceurs qui vous suivent avant, il est maintenant temps de réfléchir à nouveau. Le site qui a révélé la faille a même un défi posté pour que les gens essaient de déchiffrer les mouvements de souris suivis. Le tableau des leaders montre qu’il faut moins d’une demi-heure à quelqu’un pour comprendre ce qui a été tapé sur un clavier logiciel. C’est un truc très effrayant.

La méthodologie d’exploitation de cette faille pour suivre les mouvements du curseur et les pressions sur les touches de modification est dépassée dans la nature, et n’importe quelle annonce générique sur n’importe quel site Web digne de confiance peut l’utiliser pour suivre ce que vous faites. Si vous ne voulez pas être suivi, vous avez des options disponibles. Tout d’abord, vous pouvez passer à un autre navigateur. Chrome ou Firefox sont des options fantastiques, et elles ne sont pas affectées par ce défaut. Deuxièmement, vous pouvez désactiver JavaScript dans IE. Bien que cela entrave l’utilité de la plupart des sites Web modernes, cela empêchera IE de transmettre les mouvements de votre souris. Ce ne sont pas des solutions optimales, mais Microsoft nous a laissé peu de choix en la matière. À moins qu’il n’intensifie et corrige cette faille, il n’est tout simplement pas sûr d’utiliser IE avec Javascript allumé.

Psssssst :  Google accélère l'arrêt de Google+ après la découverte d'une nouvelle faille de sécurité

Maintenant lis: Comment surfer en toute sécurité : de LastPass aux chapeaux en aluminium, et tout le reste

[Image Credit: Edith Soto]

Bouton retour en haut de la page