Une faille d’Internet Explorer permet la détection et le suivi des mouvements de la souris. Microsoft, au courant depuis octobre, ne compte cependant colmater la brèche tout de suite. Les conditions d’exploitation sont en effet pour le moins particulières.
En octobre dernier, la société Spider.io a découvert une faille de sécurité dans Internet Explorer dans ses versions 6 à 10. Exploitée, elle permettrait à un attaquant de suivre les mouvements de la souris n’importe où dans l’écran, même si le navigateur est minimisé. Problématique dans le cas des protections qui affichent des claviers virtuels, comme celles exploitées notamment par les banques (ex : Société Générale).
Les détails de cette faille ont fini par être exposés publiquement sur le fameux site Seclists.org. Nick Johnson, de chez Spider.io, indique qu’aucun logiciel supplémentaire n’a besoin d’être installé. Une fois la faille exploitée, le suivi de la souris est continu. Cependant, les conditions d’exploitation sont particulières.
Un attaquant, s’il souhaite utiliser la faille, doit payer un emplacement publicitaire sur une page visitée par la victime. Plusieurs propriétés de l’objet Event peuvent alors être utilisées en combinaison avec la méthode fireEvent() pour permettre à un code JavaScript de sonder la position du curseur de la souris de manière récurrente. Une fois le lien effectué, et tant que l’onglet contenant reste ouvert, la position de la souris peut être enregistrée.
Selon Wired, le centre de sécurité de Microsoft est au courant de la faille mais l'éditeur ne compte pas corriger le problème dans l’immédiat. Spider.io indique toutefois que la faille est déjà exploitée par quelques sociétés spécialisées dans l’analyse web (sans les nommer).
