Une méthode propre à Internet Explorer permet de contourner les filtres mis en place par de nombreux webmails, dont Yahoo!. Il devient alors possible de faire exécuter un script sur l'ordinateur de la victime en lui envoyant un simple email. Bilan d'une telle attaque lorsqu'elle est réussie : vol des courriers, du carnet d'adresse ou même exécution d'un ver.

au sommaire


    Le logo d'Internet Explorer

    Le logo d'Internet Explorer

    L'attaque est particulièrement sournoise : il suffit d'exploiter une obscure caractéristique d'Internet Explorer (le module HTML+TIME) afin de faire exécuter un script à l'ouverture d'un courrier piégé. Ce script peut alors, au choix du pirate, dévoiler tous les emails du compte, donner accès au carnet d'adresse ou même faire télécharger un ver afin d'infecter le PC, ceci en conjonctionconjonction avec d'autres failles connues.

    Bien sûr, cette attaque ne fonctionne qu'à partir des webmails tels Yahoo! et HotmailHotmail, et uniquement lorsque ceux-ci sont consultés avec Internet Explorer.
    Il semblerait cependant que cette faille ne soit pas encore largement exploitée sur le terrain. En outre, MicrosoftMicrosoft vient de mettre à jour les filtres HTML de Hotmail afin de contrôler l'utilisation du module HTML+TIME : Hotmail n'est donc plus vulnérable. En revanche, Yahoo! semble n'avoir rien fait à ce sujet, bien que prévenu lui aussi. Enfin, d'autres webmails pourraient très bien être vulnérables eux aussi.

    Cette vulnérabilité ne pouvant être corrigée par les utilisateurs, il incombe aux responsables des webmails de s'assurer que l'utilisation du module HTML+TIME par Internet Explorer est correctement filtrée (et pas uniquement dans les en-têtes, car Internet Explorer offre une seconde méthode, non standard, pour déclarer des espaces de noms).
    Les utilisateurs, quand à eux, peuvent toujours choisir d'utiliser un autre navigateurnavigateur afin de consulter leurs webmail, en attendant que leur fournisseur de service corrige cette faille plutôt inhabituelle.