Les pirates informatiques sont décidément bien cruels ; ou fort adroits. Ou les deux. En tout cas, ils se basent une fois encore sur une fonctionnalité bien pratique de nos navigateurs Internet pour tenter d'accéder à nos données personnelles.


Epier nos faits et gestes...
L'expert de la sécurité informatique Symantec fait état d'une faille dite "zero-day" (à action immédiate) frappant toutes les versions de Microsoft Internet Explorer (y compris la dernière IE 7/7+ bêta 2) et de Mozilla Firefox/SeaMonkey, et ce sur toutes les plate-formes pour lesquelles ces navigateurs Internet ont été développés (Windows, MacOS X, voire Linux). En cause, une "coquille" dans la manière dont ces applications gèrent certaines particularités du langage JavaScript, notamment lors du remplissage de formulaires sécurisés sur certaines pages Web.

Une fonction, baptisée "OnKeyDown", est implémentée dans chacun de ces logiciels ; elle permet de garder temporairement en cache les caractères alpha-numériques entrés par l'internaute, au cas où il se tromperait dans la saisie d'un identifiant ou d'un mot de passe. On peut notamment interrompre la saisie, d'effacer un ou plusieurs caractères, puis reprendre la frappe, avant de valider.

La faille réside dans le fait que les caractères saisis peuvent être détournés à l'insu de l'utilisateur, notamment parce que chaque frappe est gardée momentanément en mémoire. La fonction "OnKeyDown" (littéralement : au moment où on appuie sur une touche) est souvent associée à son inverse, "OnKeyUp", qui valide le caractère tapé une fois que le doigt libère la touche en question, et autorise la répétition de la frappe ; une fonction "OnKeyPress" associe les deux, et boucle la boucle.


Internet Explorer, Firefox, même combat...
Cette fonctionnalité bien pratique facilite la vie de l'internaute lors du remplissage de formulaires en ligne, dans la mesure où elle n'impose pas d'effacer tous les caractères saisis en cas d'erreur, mais elle présente, comme on le voit aujourd'hui, un sérieux risque en terme de sécurité. En la détournant via une classique (hélas !) tentative de "phishing", on peut mémoriser toutes les saisies au moment même où elles sont exécutées. Lors d'un achat par carte bancaire en ligne, par exemple, le risque est évident.

Etant donné qu'il n'existe pas vraiment de parade contre cette "particularité" de confort, Symantec, mais aussi Secunia, conseillent aux internautes d'être vigilants lorsqu'ils visitent des sites sensibles, et de s'assurer autant que faire se peut de l'adresse sur laquelle ils vont divulguer des données personnelles. Une fois n'est pas coutume, tous les navigateurs Internet mentionnés plus haut (Opera en est semble-t-il protégé) sont concernés, ce qui renverra dos à dos les tenants de chaque camp...

Un développeur du nom de Charles McAuley est à l'origine de la découverte de cette vulnérabilité, dont il poste une preuve de concept succinte sur son site. Symantec, de son côté, recommande de désactiver la fonction "active scripting" sur les navigateurs concernés, faute de mieux.