..
failles
microsoft
|
..................................
|
|
Le
CHICHOIS |
Flash . N° 70 22 Décembre 2003
Une belle faille de sécurité dans les Microsoft internet explorer.
Dernière frayeur informatique de cette année 2003 avec la découverte d'une faille de sécurité dans les logiciels Microsoft Internet Explorer. Frayeur d'autant plus grande que bien prévenu depuis la mi-décembre la société Microsoft ne publie pas de patch de sécurité pour ce problème. ( lassitude ? ). Pour changer un peu ce n'est pas un virus qui cause problème mais une possibilité de fraude et cela reste peut-être beaucoup plus grave. Explication :
Un fraudeur/pirate réalise une page web en tout point semblable à celle par exemple d'un site d'une banque ou d'un site commercial très connu comme E-Bay ou alapage ou wanadoo sur lequel certainement vous vous êtes rendu quelque fois. Puis il vous envoie par mail un courrier aussi au couleur d'un de ces sites respectables avec par exemple ce genre de contenu :
Nota / Nous avons choisi comme site fictif - le site Wanadoo - cela marcherait tout aussi bien avec le credit agricole ou Microsoft etc ... Ne craigniez rien vous pouvez cliquer sans crainte sur le bouton que " ce pseudo mail " vous propose car le danger ne réside pas là. ( ne fonctionne qu'avec Microsoft internet explorer - IE ). Quand vous aurez cliquer sur le bouton ci-dessous vous irez non pas sur le site de wanadoo mais sur celui d'OPIS, par contre, et le piège est ici, l'adresse du site qui apparaîtra dans le champ d'adresse sera bien celle de wanadoo ( http://www.wanadoo.fr ) L'important dans cette démonstration est de réaliser ce que vous auriez fait si au lieu de parvenir sur la page d'OPIS vous tombiez sur une copie de celle de wanadoo réalisée par le fraudeur et qu'en toute confiance vous donniez les renseignements demandées sur cette page ( par exemple vos codes d'accès, vos coordonnées bancaires ..etc. ). Testez, vous ne risquez absolument rien.
|
Cher client, La dernière transaction que vous avez effectué sur notre site n'a pas été enregistré convenablement. Nous vous invitons à vous rendre sur votre page client afin de confirmer les informations en cours .... ........... bla bla. Pour joindre votre compte client : Bien cordialement, Mr Yves Deschamp, service commercial. |
En attendant, pour faire bonne figure, Microsoft décrit le bug, au cas où ses usagers auraient « loupé » l'annonce mais malheureusement en espaçant les « lots » de correctifs (groupés 1 fois par mois), il encourage la multiplication de correctifs « sauvages » dont on ne peut prédire le comportement à long terme. mais dans le cas d'un tel défaut (ndt : le problème URL Spoofing), la question ne se pose pas, il FAUT patcher. ( réseau & télecom ).
Pour régler ce problème diverses sociétés de sécurité publient un correctif ( sauvage, c'est à dire non réalisé par Microsoft ... mais à défaut de rien du tout !!!! )
Attention ces patchs n'ont pas été testés par nos soins ( nous n'utilisons pas microsoft .... )
-
: site Open Source OpenWares de fournir sa rustine gratuite
- BlueCoat d'offrir son script de filtrage, gratuit
Louis Ernesto
|
PUBLICITE
|
 |
