Dans les versions précédentes du navigateur Edge, les pirates pouvaient siphonner les informations d’un compte en exploitant une faille dans la gestion des données multimédia.
Si vous êtes un utilisateur de Microsoft Edge, assurez-vous d’avoir la dernière version publiée le 12 juin dernier. Les versions précédentes sont vulnérables à une attaque permettant à un site malveillant de se loguer sur des comptes tiers et d’en récupérer des données. Et sans vous demander votre avis évidemment.
Baptisée « Wavethrough », cette attaque a été découverte par Jake Archibald, un développeur chez Google Chrome. Pour l’exploiter, il suffit d’intégrer dans le site malveillant la lecture d’un fichier multimédia (vidéo, audio) et de spécifier l’option d’un transfert par bouts de données (« Range request »). Le hic, c’est qu’il est possible de modifier en cours de route l’origine du téléchargement, ce qui devrait être prohibé. Les 50 premiers octets peuvent ainsi venir du site malveillant, et les suivants d’un autre site, même s’il ne s’agit pas de données multimédia.
Mais il y a mieux : ce changement d’origine peut également s’appuyer sur les cookies de l’utilisateur. Le pirate peut donc accéder au contenu de sites qui nécessite une authentification, comme Facebook ou Gmail par exemple. « Cela signifie que si vous visitez mon site [malveillant] avec Edge, je pourrais lire vos emails, je pourrais lire votre flux Facebook, sans que vous vous en rendiez compte », souligne Jake Archibald. Alerté en mars dernier, Microsoft a publié un correctif à l’occasion du dernier « Patch Tuesday ».
Le développeur a également pu exploiter le même type de faille sur Firefox, mais seulement sur la dernière version beta qui, depuis, a été corrigée. Chrome et Safari, de leurs côté, n’étaient pas impactés.