Une nouvelle faille menace les navigateurs sous Windows, Linux et Mac OS

L’utilisation de l’évènement JavaScript ‘

OnKeyDown‘ permettrait selon Symantec de capturer et dupliquer les saisies clavier de l’utilisateur, donnant à un site malveillant et en toute transparence pour l’internaute un accès à des données de type carte ou compte bancaire. Plusieurs éditeurs de solutions de sécurité ont signalé la menace, qu’ils ont qualifiée de peu critique, car elle s’apparenterait à un ‘proof-of-concept‘, une maquette destinée à valider un projet. La faille n’est peut-être pas dangereuse, mais la menace demeure et pourrait être exploitée par un pirate déterminé, n’en déplaise aux éditeurs ! En revanche, il faut accumuler énormément de données avant de pourvoir extraire une information exploitable… Elle pourrait cependant rejoindre l’arsenal des phishers, car la faille permet de superposer un champ de saisie au dessus d’un champ légal d’une page Web de paiement en ligne, afin de renseigner le pirate. Et elle affecterait déjà la beta 2 d’Internet Explorer 7, ainsi que SeaMonkey, sous Windows, Linux et Mac OS.