Siddartha Posté 11 Décembre 2003 Posté 11 Décembre 2003 Bonjour à tous ! J'ai le plaisir d'inaugurer cette nouvelle rubrique et d'y faire le premier post ! Par contre, ce n'est pas pour une bonne nouvelle mais plutôt pour vous prévenir de la découverte d'une nouvelle faille de sécurité ie, suffisamment dangereuse dans sa manipulation pour que tout le monde doivent y faire attention ! Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants afin d'afficher une fausse url dans la barre d'adresse. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être exploitée par un attaquant afin de cacher la vrai URL d'une page en incluant les caractères "0x01" avant le caractère _AT_ Démo live sur l'advisory : http://www.k-otik.net/bugtraq/12.09.IE.php Définitivement, utilisez Mozilla Firebird ;-)
Cariboo Posté 11 Décembre 2003 Posté 11 Décembre 2003 J'ai vu l'avertissement... Et j'ai testé le fameux trou de sécurité La dangerosité de ce truc est très très exagérée. Cela permet au mieux de faire croire à un gogo qu'il est sur le site de sa banque alors qu'il n'y est pas. Mais je doute que les gens vérifient en permanence leur barre d'adresses pour savoir si ils sont sur le bon site. Donc, cela rend les "fakes" plus crédibles, mais ce sont les fakes qui sont réellement dangereux, "exploit" ou pas...
Siddartha Posté 11 Décembre 2003 Auteur Posté 11 Décembre 2003 Tout à fait Cariboo ! Ceci dit, le fait de pouvoir modifier l'url à sa guise fera le bonheur des 'fakers' et le malheur des internautes crédules .. Hormis les banques, on peut aussi imaginer que le fake peut porter sur la société qui héberge un site, le provider de l'internaute, son service mail, son service de nom de domaines, un service de tiers de confiance chez les e-marchands ou les marchands e-commerce eux-même, etc.. Les conseils de rigueurs consistant à vérifier les procédures et les mails recues par ce genre de service 'officiel' sont donc à vérifier dès que quelque chose d'anormal est reçu ou arrive, sans tomber non plus dans une paranoïa complète !
Beatnykk Posté 11 Décembre 2003 Posté 11 Décembre 2003 oui c'est pas bien méchant vu comme ça, plutot surprenant. le truc c'est qu'il faut cliquer un lien au départ. et je pense que les gens qui vont sur le site de leur banque tapent l'adresse directement et à la main, ou mettent le site en favoris. ce serait vraiment le diable qu'au milieu d'un surf sur un xxx.cul.jp, monsieur charles de la morandière voit un lien vers le site de sa banque, justement, tiens, et se dise qu'il ferait mieux de consulter le cours de ses actions là tout de suite au lieu de mater l'au demeurant charmante demoiselle à l'écran, entre sur ce lien menant sur un page copie conforme si bien qu'il n'y voit que du feu, entre son code dans des formulaires piégés à des fins de récupération d'info, et se fasse ainsi vider ses comptes et ses portefeuilles d'actions depuis un studio de 12m² du centre de Tokyo par un jeune hacker sous crack... naaaan, j'y crois pas, même le sketch de la chauve souris de bigard est plus crédible...
Siddartha Posté 11 Décembre 2003 Auteur Posté 11 Décembre 2003 Sauf si je t'envoie un mail directement aux couleurs et logo de ta banque (ou autres) avec le lien dans ce mail ;-) Si en plus, je m'amuse à te l'envoyer d'un mail genre client_AT_tabanque.com, et si le hoax est bien monté, tu risques de n'y voir que du feu, et c'est le principe de ce type de mail : la bonne procédure au bon moment ..
Beatnykk Posté 11 Décembre 2003 Posté 11 Décembre 2003 tu peux connaître, toi, la banque de quelqu'un dont tu as le mail ? moi pas. supposons que l'hoaxer envoie au bonheur la chance un trucage (faux mail et lien spoofé vers faux site copie) sur une banque précise (mettons le credit lyonnais) vers un listing d'email. ben je dis juste que c'est le meilleur moyen de se faire pincer : pas très discret. ce genre d'opération ne peut marcher vers des centaines de destinataires, mais uniquement contre des personnes très ciblées. ça veut donc dire que si hack-bandistisme il peut y avoir, c'est plus à la façon d'un serial-hoaxer (proie par proie, avec repérage, stratégie, surveillance, montage fin et personnalisé) qu'à grande échelle. et ce n'est pas juste ce gouffre, certes béant dans explorer, qui le permet, mais plutot une volonté malveillante, soutenue et determinée contre laquelle aucun bugfix ne peut rien.
Siddartha Posté 11 Décembre 2003 Auteur Posté 11 Décembre 2003 Pasque tu crois qu'il va mass-mailer de chez lui ? Il y a suffisamment de serveurs SMTP ouverts partout sur le web pour arriver à ne pas se faire retracer, les serveurs Caramail à une certaine époque en était le meilleur exemple. Pour une banque, j'admet qu'il peut être difficile de la connaître par le seul mail d'une personne, malgré ça, ce n'est pas impossible, une intrusion sur une machine mal protégée permet d'avoir certaines informations trés confidentielles. Aprés, tu as aussi les exemples pour les noms de domaines ou là, ton mail est public et forcément associé à ton dns, etc, etc. Enfin, dans tous les cas, je suis d'accord avec toi pour dire que à grande échelle, ca ne peut avoir un grand effet, mais plutôt lorsque cela est réellement prémédité avec la collecte d'informations qui précède ce genre d'attaques.
Siddartha Posté 15 Janvier 2004 Auteur Posté 15 Janvier 2004 Comme koi .. 15.01.2004 : Exploitation massive d'une faille Internet Explorer ------------- Depuis quelques jours, de nombreux utilisateurs ont reçu des e-mails les informant quen raison de problèmes techniques ou dautre nature, ils étaient contraints de vérifier la validité de leurs coordonnées bancaires en se connectant à une page web spécifique. Ces mails ont été astucieusement codés pour exploiter la vulnérabilité URL Spoof - à ce jour non corrigée de Microsoft Internet Explorer. Cette faille permet de [...]
Monique Posté 16 Janvier 2004 Posté 16 Janvier 2004 Dans l'article cité par Siddartha, je lis L'équipe Technique K-OTik recommande de NE plus utiliser Microsoft Internet Explorer (jusqu'à la publication des patchs) ... patchs qui risquent de se faire attendre longtemps : selon un article de ZDNet, Microsoft a publié mardi 13 janvier son bulletin de sécurité mensuel qui, surprise, ne corrige pas une complication découverte en décembre. Cela donne à réfléchir...
Siddartha Posté 17 Janvier 2004 Auteur Posté 17 Janvier 2004 Et pour complèter tout cela, Microsoft arrête définitivement aussi le développement des versions d'Internet Explorer. La dernière version d'ie est donc et sera la 6 .. Donc effectivement, les trous de sécus contenus dans IE ne sont pas prêt d'etre corrigés de sitôt
Monique Posté 17 Janvier 2004 Posté 17 Janvier 2004 L'arroseur arrosé ... à regarder avec IE ! à défaut, une capture d'écran...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant