Edition du 29/01/2009 - par Vincent Delfau

Le filtre censé protéger les utilisateurs d'Internet Explorer des méfaits du 'clickjacking' laisse les spécialistes de la sécurité sur leur faim. Intégré à la dernière version du navigateur de Microsoft, cet outil est présenté par l'éditeur comme une solution prête à l'emploi pour contrer ce type d'attaques sur le Web.

Une faille qui affecte tous les navigateurs

Le 'clickjacking' - ou 'UI Redressing' - est une faille affectant tous les navigateurs. Elle permet aux personnes malintentionnées de modifier le code d'une page pour que les clics des internautes déclenchent - via un calque transparent renfermant des liens dissimulés - des actions non désirées de façon indécelable. Des pirates peuvent ainsi effectuer des transactions sur des sites financiers, modifier les paramètres de configuration d'un routeur, forcer le téléchargement d'un logiciel ou prendre le contrôle d'une webcam.

La voie choisie par l'éditeur pour contrer ce type de pratique fait naître des inquiétudes chez les experts. La technologie utilisée par Microsoft pour protéger les utilisateurs d'IE 8 du 'clickjacking' ne fonctionne que si les concepteurs de sites Web ont préalablement inséré certaines balises dans le code des pages considérées. Sans ces 'tags', point de salut. La réussite de la technologie développée à Redmond repose donc en grande partie sur la bonne volonté des développeurs Web. « Si tout le monde décide qu'il s'agit de la bonne méthode, cette solution prendra tout de même des années [avant d'être pleinement efficace] », commente Robert Hansen, le patron du cabinet de conseil SecTheory.

Page suivante (2/2) >