Une véritable histoire passionnelle est en train de naître sous nos yeux, celle dont les protagonistes sont la société danoise spécialisée dans la sécurité informatique Secunia et l'un des produits phares de la firme de Redmond, Internet Explorer dans sa mouture estampillée 7. Ainsi, Secunia maintient son rythme de croisière et vient de publier en l'espace de 11 jours très exactement, son troisième bulletin de sécurité incriminant une faille présente dans IE7 (XP SP2).

Néanmoins, quelques innovations, ce bulletin a été mis en ligne un lundi et non un mercredi comme les précédents, mais bien moins anecdotique, la dangerosité de la vulnérabilité ici dénoncée est montée d'un cran puisqu’elle est qualifiée de modérément critique (niveau 3 sur une échelle de 5) alors que les autres étaient considérées comme peu critiques (niveau 2).


Spoofing comme dans la deuxième faille
Preuve de concept à l'appui, Secunia révèle donc la présence d'une vulnérabilité dans IE7 qui pourrait être exploitée par une personne mal intentionnée afin de " spoofer " le contenu de sites Web dans le but d'induire en erreur un internaute et de lui soutirer des informations personnelles.

Plus précisément, si l'internaute navigue sur un site malicieux et que parallèlement, il ouvre un autre site, de confiance celui-ci, tel le site d'un organisme bancaire susceptible d'ouvrir une fenêtre sous forme de pop-up, du contenu pourrait être injecté dans cette fenêtre pop-up afin d'inciter l'utilisateur à entrer des données sensibles qui seraient en réalité recueillie par un pirate.

En attendant un correctif, Secunia fait remarquer qu'en 2004 une vulnérabilité similaire avait  déjà affecté plusieurs navigateurs dont IE6 avant que Microsoft ne prodigue un soin palliatif et Secunia de conseiller pour l'heure aux utilisateurs de IE7 de n'ouvrir qu'une seule fenêtre lorsqu'ils sont sur un site où ils doivent communiquer des informations personnelles.


Réactions attendues et critiques d'ores et déjà émises
Comme à l'accoutumée, reste à attendre la réaction de Microsoft qui ne saurait tarder, mais pour le leader mondial du logiciel, si cette vulnérabilité est bel et bien avérée, le compteur montera à deux pour le nombre de failles concernant IE7 puisque qu'il n'a pas reconnu l'existence de la première découverte par Secunia prétextant que pour cette dernière son fureteur n'en était que le vecteur.

A noter également que déjà, sur des forums spécialisés, certains font remarquer que le test proposé par Secunia afin de vérifier la véracité de la faille publiée, fonctionne dans certaines circonstances (sous XP) avec IE6 mais également avec Firefox 1.5 voire 2.0 et dénoncent par là même la relative mauvaise foi de la société danoise qui dans son bulletin n'a parlé que de IE7.