Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Myki

[Faille] Internet Explorer et les Webmails

Messages recommandés

Les webmails sont vulnérables... lorsque utilisés avec Internet Explorer !

 

Une méthode propre à Internet Explorer permet de contourner les filtres mis en place par de nombreux webmails, dont Yahoo!. Il devient alors possible de faire exécuter un script sur l'ordinateur de la victime en lui envoyant un simple email. Bilan d'une telle attaque lorsqu'elle est réussie : vol des courriers, du carnet d'adresse ou même exécution d'un ver.

 

L'attaque est particulièrement sournoise : il suffit d'exploiter une obscure caractéristique d'Internet Explorer (le module HTML+TIME) afin de faire exécuter un script à l'ouverture d'un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d'adresse ou même faire télécharger un ver afin d'infecter le PC, ceci en conjonction avec d'autres failles connues.

Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et Hotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer.

Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, Microsoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi.

 

Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).

Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.

 

Source Les Nouvelles

 

Source de l'alerte (en anglais)

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Webmail et IE: un cocktail dangereux pour la sécurité selon des experts israéliens

Par Christophe Guillemin

ZDNet France

Mercredi 24 mars 2004

 

Les filtres de sécurité qui surveillent les e-mails transitant via les services tels que Hotmail et Yahoo peuvent être contournés, en exploitant une fonction peu connue d'Internet Explorer. Microsoft a corrigé son système; Yahoo fait de même.

 

La société israélienne Grey Magic Software a rendu publique, mardi 23 mars, une vulnérabilité de sécurité qui touche l'utilisation des services webmails sous Internet Explorer. Les experts détaillent les cas spécifiques de Hotmail de Yahoo Mail, mais «beaucoup d'autres services similaires peuvent être vulnérables», peut-on lire dans leur bulletin de sécurité.

 

Selon Grey Magic, il serait possible de contourner certains filtres de sécurité des services webmails et donc d'envoyer des messages piégés. Une fois ouvert, ces derniers permettraient d'exécuter du code à distance sur l'ordinateur.

 

Rien n'empêcherait à une personne malintentionnée de voler alors les logins et mots de passe des utilisateurs afin d'accéder à leur compte et visualiser le contenu des e-mails ou accéder au carnet d'adresses. Cette "méthode" peut également être exploitée pour éventuellement prendre le contrôle à distance du système, précisent les experts en sécurité.

 

Une "méthode" basée sur l'exploitation de scripts

 

Normalement, les filtres des services webmails bloquent ou du moins limitent l'exécution de scripts; ces petits programmes écrits dans un langage à interpréter par le navigateur (Javascript, VBScript...) et qui permettent de lancer certaines fonctions du système. En exploitant une fonction d'Internet Explorer connue sous le nom de "HTML+TIME", et utilisée pour ajouter un chronométrage ou de la synchronisation dans des pages HTML, il serait possible de duper ces filtres qui ne la prennent pas totalement en compte.   

 

Prévenu par Grey Magic depuis le 11 mars, Microsoft a mis à jour les filtres du service Hotmail qui n'est aujourd'hui plus vulnérable, a assuré à notre rédaction américaine le numéro un des logiciels. Yahoo est en train de faire de même, et son service devrait être protégé dans les jours à venir.

 

«Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateur afin de consulter leur webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle», conseille pour sa part l'équipe technique de K-Otik, site français de veille en sécurité.

 

Avec Robert Lemos de CNET News.com

 

Source ZDnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Les Webmails menacés de vol de courrier

Jérôme Saiz, 01net., le 25/03/2004 à 19h14

 

Une fonction d'Internet Explorer ouvre la porte au vol de courrier à la seule lecture d'un message piégé. L'attaque a été testée sur Hotmail et Yahoo! mais elle pourrait s'appliquer aux Webmails des principaux fournisseurs d'accès.

 

Simple et populaire, l'usage des  Webmails  depuis Internet Explorer devient une pratique à risque. L'alerte a été lancée mardi 23 mars. Selon la société Greymagic, une fonction propre au navigateur de Microsoft peut être détournée et donner à un pirate l'accès complet à la boîte aux lettres de sa victime et, dans certains cas, lui permettre d'exécuter des programmes sur son PC. Et tout ça, par l'intermédiaire d'un simple e-mail piégé !

 

Pour la victime, l'attaque est invisible : c'est lorsqu'elle ouvre le courrier incriminé que cette dernière se déclenche. Un script, dissimulé dans le code HTML du message s'exécute, de manière automatique et à l'insu de l'utilisateur. Et comme la méthode mise en oeuvre pour camoufler le script est inédite, il y a de grandes chances pour que les filtres de sécurité mis en place par les webmails ne fonctionnent pas.

 

Des FAI français peu rassurants

 

D'après Greymagic, cette attaque a été testée avec succès sur Hotmail et Yahoo! Mail. Depuis, Microsoft et Yahoo! auraient pris les mesures nécessaires pour se protéger. Mais la menace concerne potentiellement la plupart des Webmails, notamment ceux des fournisseurs d'accès à Internet, Free, Tiscali, Wanadoo...

 

Interrogés à ce sujet, ils n'ont pas su nous répondre, la plupart ne semblant même pas au courant de cette vulnérabilité. Seul Club-Internet a été en mesure de nous rassurer : «  Nos équipes de sécurité ont mis en place un patch pour supprimer tous les appels en langage XML, ce qui permet de se prémunir contre de telles attaques  », explique un porte-parole.

 

Une seule parade infaillible : changer de navigateur

 

Techniquement, cette attaque est exploitable uniquement si la victime utilise le navigateur Internet Explorer (à partir de la version 5.5) pour lire ses courriers sur un Webmail vulnérable. Elle repose sur un usage détournée du module HTML+TIME, spécifique au navigateur de Microsoft, qui permet la synchronisation des contenus multimédias dans le code HTML.

 

L'impact pour la victime est alors celui d'une attaque dite de cross-site scripting  : le pirate peut lire ses cookies (dont ceux utilisés pour s'authentifier à des services en ligne) et ses mots de passe, détourner des sessions Web en cours et disposer d'un accès complet à sa boîte aux lettres, ainsi qu'à son carnet d'adresses.

 

Pour l'heure, une seule parade semble infaillible en attendant que les fournisseurs de services se prononcent sur cette faille : préférer un autre navigateur à Internet Explorer pour la consultation de vos courriers.

 

 

Source 01net

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites
Internet Explorer + webmail = danger

 

Une fonction propre à Internet Explorer permet de contourner les filtres de sécurité des interfaces webmail. Consulter son courrier par ce biais peut être dangereux.

 

Les internautes qui, au-delà de l'aspect pratique, consultent leur courrier électronique via une interface webmail pour des raisons de sécurité vont devoir revoir leur stratégie. La société spécialisée en sécurité GreyMagic Software a découvert le 6 mars 2004 (mais a publié l'information le 23 mars) des failles dans les filtres de sécurité des serveurs webmails. Ou, plus précisément, dans Internet Explorer (IE) exclusivement.

 

GreyMagic a en effet découvert que, exploitée d'une manière précise, le module HTML+TIME (qui offre des fonctions de synchronisation aux pages Web) permet de contourner les filtres des webmail chargés d'éliminer les contenus à risque. En fait, il s'agit d'une commande propre à IE (non standard, donc) de déclaration des espaces de nom ("namespace") qui, combinée à la commande "import" introduite dans la version 5.5 du navigateur, n'est pas prise en charge par les filtres de sécurité des serveurs webmail.

 

Les conséquences peuvent être graves. A partir d'un simple e-mail piégé, un pirate peut lancer un script sur la machine victime dès l'ouverture du courrier infecté. Courriers électroniques, carnet d'adresses, mots de passe, numéro de carte bancaires, données personnelles en tout genre, etc., plus aucun document ou frappe au clavier n'échappe au pirate qui peut même prendre le contrôle de la machine distante.

 

Changez de navigateur

 

GreyMagic a réalisé ses tests sur les webmails de Hotmail et Yahoo. Mais l'entreprise précise que les autres services webmail sont susceptibles d'être également faillibles. Heureusement, la méthode ne semble pas avoir été exploitée massivement. Microsoft a mis à jour ses filtres sur Hotmail (deux jours après que GreyMagic a prévenu l'éditeur de l'existence du bug) et Yahoo a déclaré avoir comblé la faille récemment. Contactés, Club-Internet et Tele2 déclarent également avoir comblé la faille. Wanadoo/Voila doit mettre en place un "correctif permettant de tronquer les codes", selon la direction de la communication, avant ce vendredi soir. Les webmail de Lycos/Caramail ne sont pas vulnérables à la faille, test de GreyMagic à l'appui. Nos requêtes auprès de Free, Tiscali, AOL, NeufTelecom et Cegetel sont, pour le moment, restées sans réponse.

 

Solutions préconisées en cas de doute : ne pas se servir d'un webmail ou, plus simplement, ne pas utiliser Internet Explorer depuis la version 5.5 pour consulter son webmail. Et, de manière générale, ne jamais ouvrir un courriel suspect même si l'expéditeur est connu du destinataire.

 

Christophe Lagane

 

Source VNUnet

 

Myki

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×