Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
COMMUNIQUE SECURITE

Derniers communiqués | Page précédente

Usurpation d'identité via javascript dans les navigateurs web (21/06/05)

RESUME :
En amenant un internaute à cliquer sur un lien piégé pointant vers un site de confiance mais commandant à son insu également l'exécution d'un certain code javascript, il est possible de laisser croire à l'internaute qu'une fenêtre pop-up ou qu'une boîte de dialogue apparaissant au premier plan appartient au site de confiance alors qu'elle appartient en fait à un site tiers malveillant. Cette exploitation malicieuse des fonctionnalités offertes par le langage javascript n'est pas à proprement parler une faille des navigateurs mais peut en théorie être utilisée pour soutirer des données sensibles à l'internaute ou pour afficher un message qui serait faussement attribué au site de confiance. Tous les navigateurs web sont concernés, mais le risque est faible.

LOGICIEL(S) CONCERNE(S) :
Apple Safari
iCab
Microsoft Internet Explorer

Mozilla Camino
Mozilla Firefox
Mozilla Suite
Opera
autres

CORRECTIF :
Compte tenu de la nature du problème, aucune solution complète n'est attendue dans un avenir proche, aussi la sensibilisation des internautes est un élément essentiel. Il est en effet aisément possible de se prémunir contre ce type d'attaque en suivant les conseils habituels : désactiver la prise en charge de javascript et autres langages de script dans son logiciel de messagerie (dans Outlook : Outils > Options... > onglet Sécurité > choisir Zone de sécurité "sites sensibles"), prendre l'habitude de ne jamais cliquer sur les liens contenus dans les messages non sollicités reçus et éviter de surfer sur des sites douteux en même temps que sur un site de confiance. Compte tenu du faible niveau de risque il est inutile de désactiver javascript dans le navigateur web. Les utilisateurs du navigateur Opéra peuvent par ailleurs installer la dernière version du logiciel (8.0.1 ou supérieure) depuis le site de l'éditeur : l'affichage de la boîte de dialogue javascript n'est pas empêché mais l'adresse du site qui la contrôle y est indiqué en clair.

INFORMATIONS COMPLEMENTAIRES :
Le langage javascript, supporté par défaut par la majorité des
navigateurs, peut être utilisé pour piéger un lien hypertexte pointant vers un site de confiance (par exemple celui d'une banque) et déclencher l'ouverture d'une fenêtre de navigation pop-up sans barre d'adresse au moment du clic. Cette dernière peut alors venir se placer au premier plan devant la page du site de confiance visité, laissant croire que son contenu est contrôlé par lui :

Une variante plus anecdotique mais fortement médiatisée suite à l'annonce d'une société de sécurité consiste selon le même procédé à commander l'ouverture d'une fenêtre de navigation pop-up de taille réduite puis l'affichage d'une boîte de dialogue javascript depuis cette fenêtre, de manière à ce que cette dernière vienne masquer plus ou moins complètement la première :

L'internaute distrait ou inattentif peut alors penser que le message affiché ou que les données collectées via cette boîte de dialogue le sont par le site de confiance alors qu'ils le sont par le site malicieux. De nombreux facteurs limitant dont les fonctionnalités plus restreintes de javascript, la nécessité d'avoir le langage javascript activé dans la page contenant le lien piégé ou le fait qu'aucun site sérieux n'utilise une boîte de dialogue javascript pour collecter des données sensibles font cependant que les risques d'exploitation malveillante de ces deux procédés sont faibles. La technique ayant la faveur des escrocs reste en effet un simple lien hypertexte pointant vers une page intermédiaire qui déclenche l'ouverture d'une fenêtre pop-up usurpée, toujours via le langage javascript, puis redirige immédiatement l'internaute vers le site demandé (voir comme exemple l'attaque par phishing du 27/05/05).

-> Microsoft Security Advisories (902333) (en anglais)
-> FAQ : comment déterminer le numéro de version de votre logiciel?

 
 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons