Un informaticien hongrois vient de révéler une nouvelle faille dans la sécurité d’Internet Explorer 5.5. Ce défaut permet, encore, aux webmestres indélicats de consulter le disque dur des internautes connectés à leur site.
On ne peut même pas dire que la nouvelle soit une première, tant Internet Explorer a été decrié pour ses faiblesses en matière de protection des données privées de ses utilisateurs. Pourtant, on ne peut pas dire, non plus, que la dernière faille en date du navigateur de Microsoft, révélée par l’informaticien hongrois Georgi Guninski sur le forum Bugtraq du site
Security Focus est anodine. Elle permet en effet aux webmestres fourbes de consulter le disque dur de l’internaute qui se connecte à leur site. Encore une fois, cette faille est due au détournement d’une fonction ActiveX qui permet de rapatrier un fichier distant sur son ordinateur. À condition de connaître le nom du fichier qu’il recherche, il suffit donc au webmestre d’inclure dans son site quelques lignes de codes. La manœuvre n’est pas compliquée : pour la plupart des utilisateurs sous Windows 9x, les fichiers de configurations ainsi que ceux renfermant des informations personnelles (les mots de passe, par exemple) sont situés dans des répertoires bien connus. Georgi Guninski fait une démonstration de ce type de vol sur son
site. Vérifiez par vous-même en créant auparavant un fichier test.txt dans lequel vous taperez le texte de votre choix (Attention ! rien de confidentiel...) et que vous enregistrerez sous c :/test.txt. Une fois de plus, en attendant le patch de Microsoft, le seul remède est d’inactiver les scripts ActiveX.