Faille: Internet Explorer 7 vulnérable au phishing ?

Les chasseurs de bugs s’en donnent à coeur joie. On l’a dit, la compétition pour trouver des failles dans les nouveaux navigateurs Internet fait rage. Internet Explorer 7 et Firefox 2 passent sous le crible et les découvertes se multiplient.

Le 19 octobre, Secunia repère une première faille dans IE7. Microsoft explique que cette faille est liée à Outlook Express mais pas à IE7 ; plus spécifiquement à la DLL inetcomm.dll qui n’est pas installée, ni mise à jour par IE7. Dont acte.

Cette semaine, les chasseurs de bugs ont revendiqué la découverte de deux failles dans le nouveau Firefox 2. Mais, Mozilla conteste la dangerosité de deux failles décelées, une découverte qualifiée de « bruit » par le chef de la sécurité de Firefox, Window Snyder, « ces failles ne représentent aucun risque pour les utilisateurs ». Très bien…

Ce jeudi, Secunia revient à la charge et révèle l’existance d’une nouvelle faille ‘less critical’ (peu critique) dans Internet Explorer 7. La vulnérabilité a été confirmée par Microsoft. Elles pourrait permettre des attaques par phishing via la bonne vieille technique du spoofing d’URL.

L’éditeur souligne que le spoofing peut facilement être repéré par l’utilisateur. Dans son blog, il explique que l’utilisateur doit avoir cliqué sur un lien spécifiquement formé, soit à partir d’un site douteux soit à partir d’un courriel lui aussi douteux, pour voir apparaître une fenêtre pop-up faisant faussement référence à un domaine (adresse spooffée ou maquillée).

L’utilisateur doit pouvoir se rendre compte lui-même que l’adresse Web affichée dans son navigateur est erronée, simplement en examinant l’ensemble du champ de saisie dans la barre d’adresse par exemple.

Il ajoute qu’en cas d’exploitation par phishing, son filtre anti-phishing int égré à IE7 se mettrait immédiatement à jour. Le risque est donc minime. Mais il existe quand même.