Une nouvelle faille de sécurité d’Internet Explorer permet à une page de suivre les mouvements du curseur de la souris de l’utilisateur, même si le navigateur est réduit au minimum. La vulnérabilité, découverte par Spider.io, permet à une personne malveillante d’enregistrer des interactions avec des claviers virtuels utilisés dans des sites bancaires, par exemple.
La vulnérabilité affecte toutes les versions d’Internet Explorer prises en charge par Microsoft, de 6 à 10. Et le plus gros problème n’est peut-être pas la panne elle-même, mais l’attitude de Microsoft face à la vulnérabilité : Spider.io rapporte qu’il a contacté la société pour signaler le problème, mais Microsoft a simplement répondu en disant qu’il n’avait pas l’intention de publier un correctif dans l’immédiat.
Une démonstration de la faute se trouve sur cette page. Dans le carnet de la salle de rédaction, avec Windows 8, Internet Explorer 10 et toutes les corrections de sécurité appliquées, la page détectait avec précision les mouvements du curseur de la souris et les pressions des touches Ctrl, Shift et Alt. Si vous redimensionnez ou déplacez la fenêtre d’Internet Explorer, la page reproduira aussi fidèlement vos actions – c’est un peu effrayant. Dans Chrome 23 et Firefox 17, la page n’affichait qu’une image statique.
L’exemple de code a été fourni par Spider.io. Le site indique également qu’au moins deux grandes sociétés de publicité qui diffusent des milliards de publicités par mois profitent de cette faille. Il se peut donc que vous soyez scanné même si votre antivirus est à jour et qu’aucun virus ne se trouve sur votre machine – après tout, dans ce cas, le virus est Internet Explorer lui-même.
Comme le code fonctionne même si Internet Explorer est réduit ou si l’onglet est inactif, il est conseillé d’utiliser un autre navigateur et de fermer Internet Explorer lorsque vous allez sur un site très important. Au moins jusqu’à ce que Microsoft publie le correctif pour la panne.
Je sais qu’aujourd’hui n’est pas le jour de la semaine où l’on crée une dépendance au jeu, mais le jeu Steal des utilisateurs d’IE promet de donner plusieurs heures de plaisir en cet après-midi ennuyeux : le but du jeu est de découvrir ce que l’utilisateur d’Internet Explorer tape sur le clavier virtuel dans le plus bref délai possible.
