Résumé : Microsoft a récemment annoncé un correctif de sécurité pour Internet Explorer qui se faisait attendre depuis plus de deux mois. Celui-ci, par contre, supprime certains fonctionnalités. - Lire l'article
Microsoft a récemment annoncé un correctif de sécurité pour Internet Explorer qui se faisait attendre depuis plus de deux mois. Celui-ci, destiné à rendre inopérable les techniques d'URL Spoofing avec IE, réussit sa mission, mais élimine par ailleurs une fonctionnalité du navigateur web. En effet, revenons à l'origine du problème. Début décembre une faille dans internet est révelée. Celle-ci permet de faire apparaître dans la barre d'adresse d'Internet Explorer une URL différente de celle qui est affichée effectivement. Sa technique d'exploitation utilise une fonctionnalité incluses dans la plupart des navigateurs web permettant de taper directement dans l'url des informations d'authentification. Par exemple: user:password@site.com. L'utilisation de cette fonction, combinée avec un lien du type OnClick et l'insertion des caractères %01 au bon endroit permet d'utiliser cette faille. Notons que ce type de vulnérabilité est particulièrement utilisée par les adeptes du phishing qui s'en servent pour rediriger des internautes attirés grace à des spam sur de faux sites bancaires.
Au début de la semaine, Microsoft a annoncé un nouveau patch de sécurité qui corrige cette faille. Mais l'éditeur ne s'est pas contenté de corriger le bug (le role des caractères %01) mais a purement et simplement supprimé la fonctionnalité de passage des informations d'authentification dans l'URL. Résultat: de nombreux sites qui utilisaient cette fonction pour protéger certaines pages ne seront plus compatibles avec Internet Explorer. L'éditeur indique par contre que cette fonctionnalité est maintenue pour les URL de type ftp. Il également possible de réactiver cette fonction en créant une entrée dans la base de registre (HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD _DISABLE) et en plaçant sa valeur à 0. L'utilisation de cette fonction peut aussi paraître obsolete selon les RFC, puisque la RFC2616 ne l'évoque pas dans la définition des URL. Il faut aussi préciser qu'il s'agit d'un moyen peu sur de transmettre des informations d'authenfication que ce soit en HTTP ou en HTTPS. Enfin, il reste toujours d'autres navigateurs qui l'autorisent encore. Ce fait illustre cependant la propension des correctifs à introduire de nouveaux problèmes.
Si vous voulez tester votre vulnérabilité à cette faille, cliquez ci dessous. Si vous êtes vulnérables, la page d'accueil de SecuObs apparaitra mais avec google.fr en barre d'adresse.
