Une faille d’Internet Explorer permet la détection et le suivi des mouvements de la souris. Microsoft, au courant depuis octobre, ne compte cependant colmater la brèche tout de suite. Les conditions d’exploitation sont en effet pour le moins particulières.
En octobre dernier, la société Spider.io a découvert une faille de sécurité dans Internet Explorer dans ses versions 6 à 10. Exploitée, elle permettrait à un attaquant de suivre les mouvements de la souris n’importe où dans l’écran, même si le navigateur est minimisé. Problématique dans le cas des protections qui affichent des claviers virtuels, comme celles exploitées notamment par les banques (ex : Société Générale).
Les détails de cette faille ont fini par être exposés publiquement sur le fameux site Seclists.org. Nick Johnson, de chez Spider.io, indique qu’aucun logiciel supplémentaire n’a besoin d’être installé. Une fois la faille exploitée, le suivi de la souris est continu. Cependant, les conditions d’exploitation sont particulières.
Un attaquant, s’il souhaite utiliser la faille, doit payer un emplacement publicitaire sur une page visitée par la victime. Plusieurs propriétés de l’objet Event peuvent alors être utilisées en combinaison avec la méthode fireEvent() pour permettre à un code JavaScript de sonder la position du curseur de la souris de manière récurrente. Une fois le lien effectué, et tant que l’onglet contenant reste ouvert, la position de la souris peut être enregistrée.
Selon Wired, le centre de sécurité de Microsoft est au courant de la faille mais l'éditeur ne compte pas corriger le problème dans l’immédiat. Spider.io indique toutefois que la faille est déjà exploitée par quelques sociétés spécialisées dans l’analyse web (sans les nommer).
Commentaires (95)
#1
En même temps pour la société générale le pavé numérique a ses nombres qui changent de position à chaque connection, donc le fait d’avoir les coordonnées des clics ça ne donne pas le mot de passe xD?
Par contre Microsoft qui nous explique qu’il ne corrigera pas la faille de suite, c’est quand même un magnifique message marketing pour fofox et compagnies …
#2
Problématique dans le cas des protections qui affichent des claviers virtuels, comme celles exploitées notamment par les banques (ex : Société Générale).
La mienne (le nécureuil) a un “clavier” dont les chiffres ne sont pas dans l’ordre et changent à chaque refresh, du coup, c’est plus sécurisé
#3
Superbe.
" />
Déjà exploitée, pas d’intention de la patcher.
Superbe.
#4
Internet quoi ?
" />
#5
#6
#7
#8
#9
Pourquoi utiliser IE, vrai question, quel est son interêt / avantage de nos jours ?
#10
Miiiiiiiiraaaaaaacle de la tecknologie !
" />
#11
#12
#13
Quelqu’un pourrait expliquer cette phrase ?
« Un attaquant, s’il souhaite utiliser la faille, doit payer un emplacement publicitaire sur une page visitée par la victime. »
Je ne vois pas le rapport avec la vulnérabilité et n’ai trouvé nulle mention de ce sujet sur la source donnée par l’article.
#14
#15
Sur Windows RT pour l’instant on n’a pas d’autre choix que d’utiliser Internet Explorer …
#16
Un attaquant, s’il souhaite utiliser la faille, doit payer un emplacement publicitaire sur une page visitée par la victime.
Un simple ajout de script sur la page, genre “defacing” en mode discret, ne suffirait pas, vraiment ?
#17
#18
#19
IE sucks.
#20
#21
N’hésitez pas à signer cette pétition pour faire changer d’avis Microsoft :
http://saveie6.com
#22
#23
Ces claviers virtuels font chier les utilisateurs et n’offrent pas vraiment de sécurité supplémentaire : Si quelqu’un a pu installer un keylogger sur la machine, il peut aussi avoir un logiciel qui montre ce qui est affiché.
Le Crédit Mutuel a un système vraiment bien : Ils envoient par la poste une carte remplie de code a usage unique. À chaque fois qu’ils veulent une opération à sécurité renforcée ils demandent un des mots de passe. (Ça n’arrive pas si souvent, par exemple pour ajouter un nouveau destinataire pour les virements).
#24
#25
#26
Zut, c’est comme ça que Dotcom voulait générer sa clé 2048 bits sans développer de client lourd.
" />
#27
Encore une raison de plus de bloquer la pub :)
Et financer vos serveur aussi est une raison de la bloquer, (Tout les sites rembourse largement leurs serveurs)
#28
#29
#30
Superbe.
Déjà exploitée, pas d’intention de la patcher.
Superbe.
etant donné la nature de cette faille et des données recoltées par les regies publicitaires qui l’utilisent, tu as d’avantage de soucis a te faire pour ta vie privée si tu utilises Google chrome plutôt qu’IE avec cette “faille”.
ici l’exploitation consiste juste a savoir où l’utilisateur promène sa souris sur un site partenaire de la régie.
bien moins grave que la faille de safari pour iOS que Google a utilisé pendant des années pour exploiter des cookies que le navigateur était sensé bloquer.
Au passage le clavier on screen de Windows 8 n’est pas vulnérable puisqu’un appui sur les touches depuis un écran tactile ne declenche pas de mouvement de la souris (donc le site “malveillant” ne peut pas capturer les saisies)
bref, aucune urgence a patcher ça, on a vu pire avec la faille des vlink css qui divulguait historique de l’utilisateur et qui a été exploitée pendant des années (elle concernait tous les navigateurs)
#31
Pourquoi utiliser IE, vrai question, quel est son interêt / avantage de nos jours ?
meilleure sécurité (IE10 avec le mode protégé avancé est le seul navigateur à ne jamais avoir été hacké)
meilleure autonomie sur les ordis portables (ca avait déjà été confirmé a l’époque d’ie8 par ars technica, chrome étant le plus gourmant en energie).
excellente stabilité, même avec du contenu flash (en prime il ne crashe pas quand gmail est inaccessible)
excellentes performances , et le seul navigateur Windows a gérer correctement les écrans tactiles.
#32
#33
#34
#35
#36
#37
#38
#39
#40
…
#41
#42
#43
Dsl doublons
#44
#45
#46
…
#47
#48
#49
#50
#51
#52
#53
ah oui, tous les utilisateurs de Windows sont sur Windows 8 et utilisent son clavier on screen depuis un écran tactile, donc aucune urgence.
et a part des utilisateurs de tablettes sous win8, t’en vois beaucoup des utilisateurs de Windows qui tapent du texte avec leur clavier on screen?
donc la menace est extrêmement limitée
#54
#55
Non, tu peux placer un script de 4 lignes tout discret qui pourrait être découvert seulement des mois après. Il n’y a rien à remplacer. J’ai parlé de “défacing” (entre guillemets), pour que les néophytes puissent comprendre l’idée de la manoeuvre que je décris, mais ça n’en est pas vraiment.
si t’arrives a faire ca, dans ce cas le site est compromis sur tous les navigateurs et tu n’as pas besoin de cette faille pour récupérer les infos de la page hôte.
#56
T’as bien bouffé la propagande de MS, toi….
ce sont des faits, dsl si ils ne te plaisent pas.
concernant vupen, ils sont des exploits 0day pour tous les navigateurs qu’ils vendent a des agences gouvernementales.
leur exploit pour ie10 ne semblent concerner que IE10 sans le mode protege avancé (ils disent qu’ils arrivent a contourner le “protected mode” seulement, et non le enhanced protected mode).
donc IE10 Metro n’est pas vulnérable.
cela dit, même s’il l’etait, ça n’enleverait rien au fait qu’il s’agit du navigateur le plus sécurisé.
Chrome a déjà été exploité de nombreuses fois cette année, webkit a un nombre de failles très supérieur a IE, et IE est le seul navigateur a exploiter les nouvelles protections mémoire de win8 ainsi que sa nouvelle sandbox.
Firefox et opera quant a eux sont des blagues niveau sécurité (pas de sandbox du tout).
#57
#58
Tout le monde parle de la banque mais cette faille permet un “keylogging” de la souris (je sais pas s’il y a un terme dédié).
J’ai lancé le script de demo de l’exploit (dispo sur Korben) et effectivement, ca enregistre le mouvements de la souris sur l’ordi, pas sur la fenetre IE.
Meme si on change le focus, meme si on minimise la fenetre, tant qu’IE est lancé le truc fonctionne.
Bien joué, MS, d’avoir autant intégré votre navigateur à votre OS
#59
#60
#61
#62
#63
Du texte non, des mots de passe oui, au clavier virtuel par exemple.
une pratique totalement inutile, puisque les malwares ne récupèrent en général pas les frappes au clavier, mais les formulaires émis par les navigateurs. Donc l’usage d’un clavier virtuel en cas d’infection par un trojan est totalement inutile.
#64
#65
DAO ? Architecture ?
bon courage pour voler des secrets industriels avec si peu d’informations ;)
Et si j’avais des exemples de ce que l’on peut faire pour nuire à son prochain grâce à ça, je ne le divulguerais pas …
EDIT Tant que j’y pense : la faille se produit sur IE, qui est le navigateur par défaut dans beaucoup d’entreprises. Ce sont justement les entreprises qui ont le plus à perdre à se faire espionner de la sorte
je te met au défi de trouver ne serait-ce qu’un scenario crédible qui mette en danger la sécurité via cette faille.
même la faille d’android qui peut potentiellement donner accès aux frappes du clavier via l’accéléromètre aux applis tournant en arrière plan est beaucoup plus dangereuse que ça, mais n’a jamais fait l’objet d’une exploitation massive, bien que non patchée depuis des années.
bref, quand c’est IE la moindre faille mineure est surmediatisée. Vu le nombre de failles de webkit et Firefox, IE reste un choix beaucoup plus raisonnable.
au passage, vu que des sociétés comme vupen proposent l’achat d’exploits 0day pour tous les navigateurs, si une entreprise est vraiment susceptible d’être espionnée via une attaque ciblée, elle ne devrait tout simplement pas laisser ses employés naviguer sur internet depuis les stations de travail, peu importe le navigateur ou l’OS.
#66
Ben voyons:
http://www.commentcamarche.net/contents/virus/keylogger
merci mais je sais ce qu’est un keylogger.
essaye au moins de comprendre le fond des choses:
si une machine est infectée par un malware, il y a toutes les chances pour qu’il intercepte les formulaires web envoyés par les principaux navigateurs.
les malwares les plus répandus ne se “fatiguent” pas a récupérer des données brutes telles que les frappes au clavier sans savoir sur quel site/appli ils ont été saisis.
de plus, même les clavier onscreen ne sont pas efficaces contre les keyloggers, car un malware peut facilement intercepter les événements envoyés a la fenetre du navigateur par le clavier, qu’il soit réel ou virtuel.
#67
Bien joué, MS, d’avoir autant intégré votre navigateur à votre OS
aucun rapport.
n’importe quelle appli/navigateur peut écouter les événements clavier souris de l’utilisateur même si la fenetre n’a pas le focus.
ce type de faille peut très bien exister sur d’autres navigateurs.
#68
#69
Je n’ai jamais entendu parler de keylogger capable d’intercepter des événements envoyés à la fenêtre d’un navigateur et encore moins par le biais d’un clavier virtuel.
il ne faut pas se limiter a des sites grand public comme pcinpact, clubic ou commentcamarche.
ce n’est pas parce que PCI n’en parle pas que ca n’existe pas.
Par ailleurs, ce que tu dis reviendrais à dire que même les saisies auto, avec mots de passe enregistrés dans le navigateur pourraient être interceptés également, puisqu’ils remplissent des formulaires, non ?
exactement, et c’est déjà exploité depuis TRES longtemps!
même les mots de passes enregistrés dans des logiciels comme filezilla sont automatiquement récupérés par les malwares qui s’en servent ensuite pour infecter des sites web (en rajoutant automatiquement quelques lignes de code JS a tous les fichiers php/html sur le serveur ftp).
bref, les keyloggers c’est de la rigolade en comparaison. Les attaques modernes sont beaucoup plus sophistiquées (et automatisées).
alors quand je lis que certains pensent qu’un clavier virtuel augmente la sécurité… Hmmmm lol
#70
#71
#72
IE10 est vulnérable sauf que tu ne le sais pas encore. Rappel de l’informatique : Tout est vulnérable !
si tu préfères, IE10 est le navigateur le plus difficile à hacker.
Pour rappel (toujours) : Opéra et sa Sandbox –> Lien PCi
De plus, Opéra est le seul qui ne va pas aux conférences black hats donc si des failles existes, elle ne sont pas publiques (ce qui n’empêche pas les méchants pirates voleurs de jeunesse de les utiliser).
D’autres bêtises de ce genre ?
encore un qui confond sandbox de sécurité et isolation (des plugins ou des onglets)!
Firefox et opera n’ont pas de sandbox de sécurité. Tous les deux isolent les plugins, mais ça n’est pas une isolation qui améliore la sécurité, c’est juste pour empêcher un crash de plugin de faire tomber tout le navigateur.
quant à la sécurité d’opéra, avec 1% de pdm on ne peut pas dire que les chercheurs en sécurité s’y sont intéressés massivement: une faille opera n’a aucune valeur commerciale, faute de victimes potentielles interessantes.
#73
En ce moment même, j’ai 62 onglets ouvertes dans Opera. Je suis à 850Mo de mémoire sur ce PC.
Ton graphique en indique 930 pour 40 onglets. Je pense que leur PC à un soucis ^^ (j’ai un Quad Code Q8200, 4Go de RAM sous Windows 8 64 Bits en Release Preview).
Image : Lien IM.
tu te poses pas beaucoup de questions dis donc!
si j’ouvre 10 onglets de pages de résultat Google, tu crois que ça va consommer 2x plus de mémoire que 5 onglets ouverts sur youtube? –’
c’est complètement debile de comparer la consommation mémoire par rapport au nombre d’onglets d’un utilisateur a l’autre si les onglets ouverts ne contiennent pas les mêmes pages web…
au passage IE et chrome isolent chaque onglet dans un processus distinct pour améliorer la stabilité. Il est donc normal qu’ils consomment d’avantage de mémoire que les navigateurs qui font tourner tous leurs onglets dans le même processus.
bref, opéra et Firefox ne sont pas suroptimisés pour consommer moins de mémoire. C’est juste une conséquence du fait qu’ils ne supportent pas l’isolation des onglets.
#74
#75
#76
#77
#78
#79
Doublon
#80
Doublon
#81
#82
#83
#84
vu l’effort qui est fait chez mozilla pour minimiser l’utilisation de mémoire, c’est plus de l’ignorance là.
non seulement c’est toi l’ignorant, mais le pire dans tout ça c’est qu’une version d’IE vieille de presque deux an (ie9) parvient a faire mieux que firefox 15
http://www.tomshardware.com/gallery/MemUse1TabWBGP12-2,0101-351513-0-2-3-1-png-….
mais bon j’imagine qu’après ça tu va me dire que Toms hardware c’est nul.
#85
Tu racontes n’importe quoi là.
https://wiki.mozilla.org/Performance/MemShrink
Ouvre une session de 50 onglets dans FF puis fais la même chose dans IE et reviens me voir
encore un qui a bien mangé du marketing de Mozilla!
malheureusement pour eux, les résultats ne sont pas là.
http://www.tomshardware.com/reviews/firefox-15-safari-6-web-browser,3287-12.html
Firefox est un navigateur mono processus, ce qui devrait lui procurer un gros avantage en terme de conso memoire par rapport a chrome et IE qui isolent chaque onglet dans un processus distinct (chaque processus contient une nouvelle instance du moteur de rendu).
#86
(suite)
et même avec 40 onglets ouverts, IE9 sous Windows consomme moins de mémoire que Firefox15 sous osx!
un comble! même sous Windows, firefox consomme a peine moins qu’IE alors qu’IE fait tourner plusieurs dizaines de processus pour garantir qu’un crash dans un onglet ne fera pas tomber tout le navigateur.
bref, lorsque Mozilla se sortira les doigts dans le cul et se décidera enfin a supporter l’isolation des onglets comme IE8 et chrome, là tu seras très surpris des lamentables résultats de Firefox, qui est loin d’être a la hauteur du blabla marketing de Mozilla ;)
comme on peut le savoir a la conso mémoire pour un onglet, Firefox est loin d’être le plus efficace.
http://www.tomshardware.com/gallery/MemUse1TabWBGP12-2,0101-351513-0-2-3-1-png-….
#87
jmanici>Mets toi à jour ^^
Sur ton 2è post aussi ^^
Et l’isolation des onglets dans les processus n’est plus vraiment d’actualité (du moins à court et moyen terme) chez Mozilla.
#88
Et il n’y a pas que les mouvements de la souris de concernés par la faille
justement, si.
relis la news.
T’es un expert en sécu info toi hein ?
le problème n’est pas que le navigateur écoute les inputs, le problème c’est que la méthode js fireEvent n’est pas suffisamment isolée. Alors oui ce type de faille peut exister sur n’importe quel navigateur, pas de bol c’est encore sur IE que ça tombe…
j’aime bien le “encore”…
parce que tu crois vraiment que IE est le navigateur qui a le plus de failles? Et que ce genre de faille n’arrive qu’a IE?
J’ai encore en mémoire la faille du navigateur d’android qui permet a n’importe quel site web d’uploader des fichiers présents sur la carte SD de l’appareil sans que l’utilisateur ne le sache. Beaucoup plus dangereux que la faille d’IE qui permet de suivre le curseur de la souris.
et pourtant devine laquelle de ces failles a fait le plus de bruit dans la presse?
Et pourtant IE est très loin d’être une passoire. La concurrence bénéficie a tort d’une bonne image dans ce domaine car ses failles sont beaucoup moins médiatisées bien que plus nombreuses.
http://www.gfi.com/blog/research-web-browser-war-security-battle-in-2011/
#89
[quote]Je n’ai jamais entendu parler de keylogger capable d’intercepter des événements envoyés à la fenêtre d’un navigateur et encore moins par le biais d’un clavier virtuel.
il ne faut pas se limiter a des sites grand public comme pcinpact, clubic ou commentcamarche.
ce n’est pas parce que PCI n’en parle pas que ca n’existe pas.[/quote]
C’est sûr que se fier au commentaire d’un anonyme sur PCI qui n’apporte aucune preuve de ce qu’il affirme même pas un malheureux lien, c’est tellement plus logique.
Firefox et opera quant a eux sont des blagues niveau sécurité (pas de sandbox du tout).
Un fanboy microsoft qui découvre les joies de la sécurité.
Si pour toi ça se limite à une sandbox, je te signale deux choses :
quant à la sécurité d’opéra, avec 1% de pdm on ne peut pas dire que les chercheurs en sécurité s’y sont intéressés massivement: une faille opera n’a aucune valeur commerciale, faute de victimes potentielles interessantes.
Détrompe-toi, des failles, certes minuscules, sont signalées de temps en temps chez Opera. La différence c’est qu’elles sont corrigées immédiatement.
En attendant, Opera n’a jamais intégré les activeX, les jvm buggés, les bho, n’a jamais été sensible aux hijackers et a depuis toujours permis à l’utilisateur de surfer sans plug-ins, sans java, sans javascript, sans cookies et avec un anti-pop-up tout ça en un click.
Alors quand tu dis que “Opera est une blague en sécurité”, je me dis que c’est toi la blague.
IE s’est peut-être amélioré en sécurité ces dernières années, c’est indéniable, mais s’il y a quelqu’un a remercier pour ça, c’est plutôt Firefox et Chrome.
Sans leur concurrence, Microsoft ne serait jamais bouger le cul pour améliorer leur navigateur.
Rappel : combien d’années se sont écoulées avant de sortir la version 7 ?
#90
C’est sûr que se fier au commentaire d’un anonyme sur PCI qui n’apporte aucune preuve de ce qu’il affirme même pas un malheureux lien, c’est tellement plus logique
je dev sous Windows depuis un bon nombre d’années et je sais comment fonctionnent les événements clavier et comment les fenêtres reçoivent ces événements.
lis un peu la doc msdn, utilise des outils de debug d’événements, et peut être qu’ensuite tu arrêteras de croire que les claviers onscreen offrent une protection magique.
Un fanboy microsoft qui découvre les joies de la sécurité.
Si pour toi ça se limite à une sandbox, je te signale deux choses :
euh mon pov gars t’es au courant que IE est sandboxé depuis IE7/VISTA (2006)?
et non il n’y a pas que la sandbox qui compte, il y a aussi les protections mémoire, et la encore IE8 était le premier navigateur a supporter ASLR et DEP.
et aujourd’hui IE10 est le seul a supporter ForceASLR et le HeASLR.
dommage alors que Firefox soit un navigateur en kit pour lequel il faut installer 50 extensions et utilitaires pour obtenir un niveau de sécurité correct ;)
#91
Détrompe-toi, des failles, certes minuscules, sont signalées de temps en temps chez Opera. La différence c’est qu’elles sont corrigées immédiatement.
je sais qu’il y a quelques chercheurs qui en cherchent juste pour la gloire, mais il y en a potentiellement beaucoup plus qui n’ont pas encore été découvertes car il y a relativement peu de chercheurs qui s’y intéressent.
quant aux délais de correction, qu’en sais tu? Tu n’entends parler des failles que lorsqu’elles ont été patchées. Tu ne sais pas depuis cmb de temps l’éditeur était au courant.
En attendant, Opera n’a jamais intégré les activeX, les jvm buggés, les bho, n’a jamais été sensible aux hijackers et a depuis toujours permis à l’utilisateur de surfer sans plug-ins, sans java, sans javascript, sans cookies et avec un anti-pop-up tout ça en un click.
lol encore un * qui parle d’activex sans savoir ce que c’est.
opera supporte les plugins NAPI, ce qui est l’exact équivalent des contrôles activex sur le plan technique.
idem pour les BHO, opera a bien un système de plugins, c’est exactement pareil niveau risques.
quant a son insensibilité aux hijackers c’est dû à ses PDM ridicules, et non une quelconque protection technique miracle.
Alors quand tu dis que “Opera est une blague en sécurité”, je me dis que c’est toi la blague
il me semble qu’opera a été le dernier navigateur à supporter aslr et dep. Ca en dit long sur le sérieux de ses créateurs.
enfin, si ca t’amuse de croire qu’un navigateur avec 1% de pdm est le plus sécurisé du marché, continues de t’enfoncer la tête dans le sable :)
IE s’est peut-être amélioré en sécurité ces dernières années, c’est indéniable, mais s’il y a quelqu’un a remercier pour ça, c’est plutôt Firefox et Chrome.
Sans leur concurrence, Microsoft ne serait jamais bouger le cul pour améliorer leur navigateur
vu que IE est le premier navigateur a avoir été sandboxé, à avoir supporté ASLR et DEP, tu peux me dire en quoi chrome/firefox ont montré l’exemple?
#92