SAN FRANCISCO (Reuters) - Le logiciel de navigation Internet Explorer de Microsoft et PGP, un programme destiné au cryptage des messages, présentent des défauts, potentiellement dangereux dans le cas du premier, notamment pour les clients du commerce électronique, selon deux experts américains de la sécurité informatique.
Le problème relatif à Internet Explorer (IE) existe depuis cinq ans au moins et pourrait permettre à un pirate informatique d'intercepter les données personnelles des internautes lorsqu'ils effectuent des achats en ligne, ou lorsqu'ils transmettent des informations liées à une transaction sur internet, a expliqué Mike Benham, chercheur indépendant basé à San Francisco.
"Si vous avez un jour saisi les informations de votre carte de crédit sur un site SSL, il y a une chance pour que quelqu'un les ait interceptées", a-t-il assuré. Selon lui, IE vérifie de manière incorrecte le certificat numérique par lequel les sites internet s'identifient, ce qui autorise l'interception en toute discrétion des informations livrées par l'internaute.
Ces certificats numériques sont attribués par des instances reconnues, telles que Verisign, et utilisés par les sites conjointement avec le protocole Secure Socket Layer (SSL) de cryptage et d'authentification.
Quiconque disposant d'un tel certificat pour un site peut générer un autre certificat viable pour tout autre site, assure Benham. "J'estime que cela est incroyablement grave", commente-t-il.
"Il s'agit de l'une des pires vulnérabilités de cryptage que j'ai vues depuis longtemps", confirme Bruce Schneier, expert en cryptage et directeur technique de Counterpane Internet Security, une société californienne. "Cela signifie que toutes les protections cryptographiques (du protocole) SSL ne fonctionnent pas si vous êtes un utilisateur de Microsoft IE".
Plus de 95% des internautes utilisent IE, qu'il s'agisse des versions 4.0, 5.0, 5.5 ou 6.0.
PGP AUSSI
Concernant PGP (Pretty Good Privacy), programme destiné au cryptage des messages transmis sur internet et disponible gratuitement sur le web, il est possible d'intercepter les messages cryptés par PGP, de les modifier sans les décrypter, de les renvoyer à leurs expéditeurs pour les tromper et retrouver le message original, selon Schneier et Jonathan Katz, de l'université du Maryland.
"C'est magnifique mathématiquement, mais ce n'est pas très grave", a toutefois affirmé Schneier.
Chez Microsoft, Scott Culp, responsable du Microsoft Security Response Center a assuré que l'entreprise étudiait le problème concernant Internet Explorer. Selon lui, certains facteurs atténuants minimisent le risque encouru par les utilisateurs. Un pirate informatique devrait notamment créer un faux site internet et y détourner les visiteurs d'une plate-forme réelle, a-t-il expliqué.
"Nous ne minimisons d'aucune façon l'information", a-t-il ajouté. "Ce que nous affirmons, c'est que d'après une enquête préliminaire, il est évident qu'il existe des obstacles importants dans le scénario qui a été décrit".
Benham et Schneier démentent, faisant remarquer que de faux sites apparaissent sans arrêt et notant la disponibilité des outils nécessaires pour rediriger les internautes.
Un pirate informatique pourrait même se passer de faux site et intercepter simplement les données saisies sur les plates-formes de commerce en ligne, insiste Benham. Il a d'ailleurs élaboré un programme afin de démontrer la facilité avec laquelle il est possible d'intercepter une connexion SSL et de la décrypter.
Je rappel que IE ne gere pas le cryptage en 128 bits contrairement a Omniweb /ubbthreads/http://forums.macg.co/vbulletin/images/smiliesold/laugh.gif => OmniWeb Rulez ! /ubbthreads/http://forums.macg.co/vbulletin/images/smiliesold/laugh.gif
Le problème relatif à Internet Explorer (IE) existe depuis cinq ans au moins et pourrait permettre à un pirate informatique d'intercepter les données personnelles des internautes lorsqu'ils effectuent des achats en ligne, ou lorsqu'ils transmettent des informations liées à une transaction sur internet, a expliqué Mike Benham, chercheur indépendant basé à San Francisco.
"Si vous avez un jour saisi les informations de votre carte de crédit sur un site SSL, il y a une chance pour que quelqu'un les ait interceptées", a-t-il assuré. Selon lui, IE vérifie de manière incorrecte le certificat numérique par lequel les sites internet s'identifient, ce qui autorise l'interception en toute discrétion des informations livrées par l'internaute.
Ces certificats numériques sont attribués par des instances reconnues, telles que Verisign, et utilisés par les sites conjointement avec le protocole Secure Socket Layer (SSL) de cryptage et d'authentification.
Quiconque disposant d'un tel certificat pour un site peut générer un autre certificat viable pour tout autre site, assure Benham. "J'estime que cela est incroyablement grave", commente-t-il.
"Il s'agit de l'une des pires vulnérabilités de cryptage que j'ai vues depuis longtemps", confirme Bruce Schneier, expert en cryptage et directeur technique de Counterpane Internet Security, une société californienne. "Cela signifie que toutes les protections cryptographiques (du protocole) SSL ne fonctionnent pas si vous êtes un utilisateur de Microsoft IE".
Plus de 95% des internautes utilisent IE, qu'il s'agisse des versions 4.0, 5.0, 5.5 ou 6.0.
PGP AUSSI
Concernant PGP (Pretty Good Privacy), programme destiné au cryptage des messages transmis sur internet et disponible gratuitement sur le web, il est possible d'intercepter les messages cryptés par PGP, de les modifier sans les décrypter, de les renvoyer à leurs expéditeurs pour les tromper et retrouver le message original, selon Schneier et Jonathan Katz, de l'université du Maryland.
"C'est magnifique mathématiquement, mais ce n'est pas très grave", a toutefois affirmé Schneier.
Chez Microsoft, Scott Culp, responsable du Microsoft Security Response Center a assuré que l'entreprise étudiait le problème concernant Internet Explorer. Selon lui, certains facteurs atténuants minimisent le risque encouru par les utilisateurs. Un pirate informatique devrait notamment créer un faux site internet et y détourner les visiteurs d'une plate-forme réelle, a-t-il expliqué.
"Nous ne minimisons d'aucune façon l'information", a-t-il ajouté. "Ce que nous affirmons, c'est que d'après une enquête préliminaire, il est évident qu'il existe des obstacles importants dans le scénario qui a été décrit".
Benham et Schneier démentent, faisant remarquer que de faux sites apparaissent sans arrêt et notant la disponibilité des outils nécessaires pour rediriger les internautes.
Un pirate informatique pourrait même se passer de faux site et intercepter simplement les données saisies sur les plates-formes de commerce en ligne, insiste Benham. Il a d'ailleurs élaboré un programme afin de démontrer la facilité avec laquelle il est possible d'intercepter une connexion SSL et de la décrypter.
Je rappel que IE ne gere pas le cryptage en 128 bits contrairement a Omniweb /ubbthreads/http://forums.macg.co/vbulletin/images/smiliesold/laugh.gif => OmniWeb Rulez ! /ubbthreads/http://forums.macg.co/vbulletin/images/smiliesold/laugh.gif
