Exploitation dangereuse d'IE suit vos mouvements de souris [Mis à jour]

Le 1er octobre 2012, une vulnérabilité dans Internet Explorer (des versions 6 à 10) a été soumise par spider.io et a montré une exploitation qui pourrait être utilisée pour suivre les mouvements du pointeur sur l’écran. Cette exploitation pourrait être utilisée par ceux qui s’intéressent à obtenir des informations sensibles même lorsque la cible n’utilise qu’un clavier virtuel.

Bien que le problème ait été soumis au Microsoft Security Research Center, il semble qu’ils ne soient pas intéressés à corriger le problème, et il reste non résolu. Cette vulnérabilité est particulièrement dangereuse pour ceux qui utilisent des claviers virtuels pour entrer des détails de carte de crédit ou des numéros de téléphone.

Comment cela pourrait-il affecter les utilisateurs d’IE ?

Même ceux qui utilisent des claviers virtuels dans le but de contourner les keyloggers ne sont pas en sécurité, car l’exploitation suit le mouvement et les clics de votre souris même lorsque Internet Explorer est minimisé. Les chercheurs de spider.io ont créé une page de démonstration qui montre l’exploitation en action, et il y a aussi une vidéo qui montre à quel point il est facile d’apprendre ce que quelqu’un clique sur un pavé numérique.

Le soumissionnaire de l’exploitation a déclaré qu’il avait informé Microsoft du problème, et d’après ce que nous pouvons voir sur leur site Web, aucune action n’a été entreprise pour y remédier :

Bien que le Microsoft Security Research Center ait reconnu la vulnérabilité dans Internet Explorer, ils ont également déclaré qu’il n’y avait pas de plans immédiats pour corriger cette vulnérabilité dans les versions existantes du navigateur.

De plus, comme l’exploitation peut être mise en œuvre sur IE 6-10, il y a beaucoup de victimes potentielles et elles doivent être informées du problème. Heureusement, là où Microsoft refuse d’agir, d’autres le font. Également sur la page décrivant le problème, spider.io assure aux utilisateurs qu’il existe des entreprises qui essaient de trouver une solution.

La position de Microsoft concernant ce problème est peu professionnelle pour le moins, mais nous pensons qu’ils essaient seulement de garder Internet Explorer comme le meilleur navigateur pour télécharger d’autres navigateurs. Si tel est le cas, alors ils font un travail formidable ! Le rapport de bogue soumis par Nick Johnson de spider.io est assez détaillé, et il décrit la vulnérabilité en détail. De plus, il a présenté le code de l’exploitation elle-même :

Nous espérons que l’importance de ce problème sera remarquée par plus de personnes et plus d’entreprises de sécurité et qu’un outil sera bientôt publié pour rendre IE sûr pour ceux qui ne souhaitent pas migrer vers un bon navigateur.

Mise à jour : Suite à la fureur entourant la vulnérabilité, Microsoft a finalement cédé à la pression et a maintenant clarifié qu’il enquête sur le problème. Ils insistent toujours sur le fait que le problème sous-jacent a plus à voir avec la concurrence entre les entreprises d’analyse qu’avec la sécurité ou la confidentialité des consommateurs, mais le rapport de spider.io dresse un tableau complètement différent.