Deux experts affirment que les navigateurs et les messageries des deux éditeurs ne sont pas blindés contre les attaques pirates.
Vous avez le choix du moindre mal. Avec les logiciels Internet de Netscape, votre ordinateur peut se transformer à votre insu en un serveur sur lequel des internautes indélicats pourront télécharger des fichiers. Avec ceux de Microsoft, vous vous exposez à d’éventuels dommages sur votre disque dur…
Mais pas de panique, aucune attaque pirate de ce genre n’est à ce jour constatée. Deux experts en sécurité informatique un brin vicieux ont simplement voulu prouver que de tels agissements sont, dans certains cas, possibles.
Netscape admet la faille
Le premier, Dan Brumleve, un consultant informatique américain de 22 ans, a ainsi publié sur son site Web le détail de la faille qu’il a découverte dans la suite logicielle Communicator de Netscape, et qu’il a baptisé "brown orifice". Il a programmé une applet Java (une application utilisant un langage développé par Sun) qui, si elle est téléchargée par un internaute, transforme l’ordinateur de ce dernier en un serveur. L’internaute ne se rend compte de rien. Tant que le navigateur est ouvert et que l’applet fonctionne, le contenu de son ordinateur est visible par l’auteur de l’applet. Pire : le pirate peut télécharger des fichiers et éventuellement diffuser l’adresse du serveur de sa victime à des complices qui pourront à leur tour se servir. Mais il ne peut rien détruire.
Dan Brumleve a fait la démonstration de sa découverte sur son site Web en proposant à des internautes de télécharger son applet. Les adresses Internet (IP) de près de 1 000 volontaires ont été publiées sur le site afin que d’autres internautes puissent jouer aux pirates. Certains en ont profité pour se servir en fichiers divers et variés, comme avec Napster… Brumleve affirme par ailleurs que l’applet Java est aussi efficace quand elle est envoyée par mail. Netscape a admis la faille, tout en précisant que Netscape 6.0, la nouvelle version de son navigateur bientôt disponible, n’est pas concernée. En attendant un correctif, les utilisateurs peuvent se protéger en désactivant l’option Java de leur navigateur.
Lignes de code provoquant des dégâts
Pour le concurrent Microsoft, c’est un spécialiste bulgare, Georgi Guninski, qui a pointé les faiblesses d’Internet Explorer et d’Outlook. Le mode de l’attaque, du genre cheval de Troie, est plus classique : téléchargés par mail ou sur le Web, des fichiers Word, Excel ou Powerpoint peuvent abriter des lignes de codes qui provoquent plus ou moins de dégâts selon les intentions de l’auteur (envoi d’informations à un tiers, destruction de fichiers, voire crash de l’ordinateur). Plus précisément, le document incriminé importe une base de données Access, qui peut abriter une application en Visual Basic nuisible. Microsoft étudie le problème et devrait prochainement proposer une solution. En attendant la prochaine alerte ?