Une faille relative à Internet Explorer permettraient à des hackers de suivre à distance les mouvements d’une souris, et donc d’en déduire des codes de sécurité, comme par exemple des mots de passe bancaires. Comment fonctionne le « mouse tracking » et comment s’en protéger ?
Pour capturer les identifiants de leurs victimes, les hackers utilisent traditionnellement un keylogger, ou enregistreur de frappe : il s’agit d’un petit logiciel malveillant qui, une fois installé sur l’ordinateur ciblé, enregistre et transmet tout ce qui est saisi sur le clavier (textes, adresses e-mail, mots de passe, etc.). C’est pourquoi les sites de banque en ligne ne proposent plus aujourd’hui de taper un code (ex : 782471) pour accéder à ses comptes personnels, mais un pavé numérique de 10 chiffres, sur lesquels il suffit de passer la souris (clavier virtuel) : un simple keylogger est alors incapable de collecter le code issu d’une telle saisie.
Un autre système de piratage est donc venu compléter les enregistreurs de frappe : les « mouse trackers« , ou traqueurs de souris. Ce système consiste à enregistrer tous les mouvements d’une souris pour obtenir des codes d’accès, notamment bancaires, comme le montre cette vidéo :
Le mouse tracking peut-être une fonctionnalité intégrée aux keyloggers traditionnels, mais elle peut aussi sévir de manière autonome, en dehors de tout logiciel malveillant installé sur l’ordinateur. C’est d’ailleurs le cas pour la faille Internet Explorer qui vient d’être découverte.
Internet Explorer vulnérable au mouse tracking
La société Spider.io a récemment découvert que le navigateur Internet Explorer, de la version 6 à la version 10, rendait possible le suivi du curseur de la souris, n’importe où sur l’écran, même si le logiciel est réduit dans la barre des tâches. Pour arriver à leurs fins, les hackers à l’origine de l’exploitation de cette faille n’ont qu’à acheter des emplacements publicitaires sur certains sites Internet que vous êtes amenés à visiter : tant que l’onglet ou la page qui contient la publicité « infectée » reste ouverte (ou réduite), tous les mouvements de votre souris peuvent être enregistrés pour analyse, dans l’espoir d’en déduire un code d’accès lucratif.
La société Spider.io a alerté Microsoft de cette faille en octobre dernier, et vient de la rendre publique. Le centre de recherche en sécurité de Microsoft admet qu’une telle faille existe dans son logiciel de navigation web, mais que pour l’heure, aucun correctif de sécurité n’était prévu. Selon Spider.io, bon nombre de sociétés spécialisées en analyse du web utilisent déjà cette vulnérabilité pour étudier les mouvements de souris.
Comment se protéger contre cette faille ?
Si vous êtes un fervent utilisateur d’Internet Explorer, évitez d’utiliser les claviers virtuels pour vous connecter à vos espaces personnels, notamment bancaires. Voici quelques autres conseils :
- Téléchargez et installez un autre navigateur web, au moins temporairement : Firefox, Safari ou Chrome.
- Certains espaces bancaires proposent des claviers virtuels dynamiques, donc plus sécurisés : à chaque connexion, les chiffres du clavier virtuel changent de place, si bien qu’il est impossible de déduire un code secret à partir d’un schéma de saisie.
- Pour chaque connexion à un espace personnel (banque, messagerie, réseaux sociaux, etc.), assurez-vous que la page est sécurisée (HTTPS).
Méfiez-vous de ces pièges à souris !
Source : wired.co.uk
Image : Flickr / Simon Greig / CC BY-NC-SA 2.0
Aucun commentaire