Internet Explorer 8 serait mal protégé contre le 'clickjacking'
Le filtre censé protéger les utilisateurs d'Internet Explorer des méfaits du 'clickjacking' laisse les spécialistes de la sécurité sur leur faim. Intégré à la dernière version du navigateur de Microsoft, cet outil est présenté par l'éditeur comme une solution prête à l'emploi pour contrer ce type d'attaques sur le Web. Une faille qui affecte tous les navigateurs Le 'clickjacking' - ou 'UI Redressing' - est une faille affectant tous les navigateurs. Elle permet aux personnes malintentionnées de modifier le code d'une page pour que les clics des internautes déclenchent - via un calque transparent renfermant des liens dissimulés - des actions non désirées de façon indécelable. Des pirates peuvent ainsi effectuer des transactions sur des sites financiers, modifier les paramètres de configuration d'un routeur, forcer le téléchargement d'un logiciel ou prendre le contrôle d'une webcam. La voie choisie par l'éditeur pour contrer ce type de pratique fait naître des inquiétudes chez les experts. La technologie utilisée par Microsoft pour protéger les utilisateurs d'IE 8 du 'clickjacking' ne fonctionne que si les concepteurs de sites Web ont préalablement inséré certaines balises dans le code des pages considérées. Sans ces 'tags', point de salut. La réussite de la technologie développée à Redmond repose donc en grande partie sur la bonne volonté des développeurs Web. « Si tout le monde décide qu'il s'agit de la bonne méthode, cette solution prendra tout de même des années [avant d'être pleinement efficace] », commente Robert Hansen, le patron du cabinet de conseil SecTheory. Dès lors, puisque tous les sites ne seront pas sécurisés, les internautes pourraient faussement croire qu'ils sont à l'abri du 'clickjacking' par le seul fait qu'ils utilisent IE 8. C'est du moins ce qu'estime Giorgio Maone, le concepteur de No Script, une extension à Firefox qui constitue l'une des protections les plus efficaces contre la plupart des failles affectant le Web. Les internautes pourraient se croire protégés « La mauvaise nouvelle pour les amateurs d'IE c'est qu'ils ne bénéficient pas de protection magique, écrit-il sur son blog. C'est vrai, [l'outil de Microsoft] ne nécessite pas d'extension pour fonctionner... mais il présente une contrainte autrement plus gênante : les sites sécurisés doivent déjà avoir adopté une technologie propriétaire [les balises à insérer dans le code, NDLR], c'est-à-dire quelque chose que les utilisateurs ne peuvent vérifier par eux-mêmes ». L'extension No Script permet de désactiver l'exécution des scripts inclus dans des sites Web. Elle offre donc une protection efficace contre le 'clickjacking', mais risque de limiter l'accès à certaines fonctions proposées par des pages Internet. La bonne solution pourrait venir d'une combinaison des outils existant. Giorgio Maone travaille ainsi sur son extension afin qu'elle puisse tirer parti des balises HTML requises par Microsoft pour son outil 'anti-clickjacking'. Et il aimerait que le fruit de son travail - et de la communauté - soit intégré à la prochaine version de Firefox.
