Sur Windows 7 et Windows 8.1, la version la plus à jour d'Internet Explorer est affectée par un bug de sécurité dont l'exploitation pourrait permettre à des individus mal intentionnés de commettre des attaques de phishing potentiellement très convaincantes.

Ce bug permet en effet de transformer un site parfaitement légitime en piège pour l'internaute via un effet similaire à une vulnérabilité de type cross-site scripting (XSS). Une telle vulnérabilité repose sur l'injection de code indirecte (un script côté client) dans des pages Web publiant du contenu de l'utilisateur sans l'avoir filtré.

Ici, les sites Web ne sont pas hackés mais le contenu affiché par Internet Explorer peut être modifié en passant outre une restriction du navigateur. En l'occurrence, Same-Origin Policy qui " restreint la manière dont un script chargé depuis une origine peut interagir avec une autre ressource chargée depuis une autre origine (ndlr : définition donnée sur Mozilla Developer Network). "

Découvreur de cette faille, le chercheur en sécurité britannique David Leo (consultant pour Deusen) propose une preuve de concept explicite (et inoffensive). Après l'interaction d'un utilisateur d'IE11 via une boîte de dialogue et un clic sur un lien Go qui apparaît ensuite sur une page, une redirection a lieu vers la page légitime du site The Daily Mail. Tout semble normal mais au bout de sept secondes, les mots " Hacked by Deusen " sont insérés dans le site.

Pour autant, l'URL dans la barre d'adresse d'Internet Explorer ne change pas et on comprend dès lors qu'une exploitation pourrait devenir malveillante dont pour du phishing difficilement détectable.

IE11-PoC-Deusen
Ingénieur sécurité chez Tumblr, Joey Fowler a commenté la trouvaille de David Leo sur la liste de diffusion Seclists et confirme sa dangerosité. " Via cette méthode, toutes les tactiques XSS sont viables. "

David Leo a informé Microsoft de sa découverte le 13 octobre 2014 et a divulgué des détails techniques le 31 janvier 2015. Un porte-parole de Microsoft indique que la firme de Redmond travaille sur une mise à jour de sécurité mais la vulnérabilité ne serait pas activement exploitée dans des attaques.

Son bon conseil : " Nous encourageons les utilisateurs à éviter d'ouvrir des liens depuis des sources non sûres et consulter des sites non sûrs, et se déconnecter lorsqu'ils quittent des sites pour aider à la protection de leurs données. "

À noter que du côté des sites Web, une parade consiste à utiliser un en-tête X-Frame-Options avec les valeurs " deny " ou " same-origin " ce qui empêche d'autres sites de se charger dans des iframes.