«Le navigateur que vous adoriez détester» : autour de ce slogan, Internet Explorer veut refaire son image. Une image de navigateur fiable, léger, sécurisé, rapide, joli, pratique, intuitif... et tous les autres adjectifs élogieux que l'on a pris l'habitude de réserver à ses concurrents made in Mozilla ou Google. La campagne que Microsoft a lancée sur le net il y a quelques semaines est bien ficelée.
Il y a un site, BrowserYouLovedToHate.com , avec plein de graphiques rigolos à base de moustaches hipster et de Gangnam Style pour prouver que tout le monde a droit à sa seconde chance. Il y a des témoignages d'internautes et de développeurs charmés par Internet Explorer 10, la toute dernière version du logiciel. Il y a enfin ce clip , étonnamment hilarant.
On a ri de bon cœur, et découvrant chez Microsoft un sens de l'humour dont on ne les aurait jamais cru capables, on se sent prêt, nous aussi, à télécharger ce mystérieux Internet Explorer 10 pour constater la révolution promise de nos propres yeux d'internaute averti. Déjà, on fantasme un incroyable scénario où après quelques heures d'essai, on serait aussi conquis que le jeune homme de la publicité, au point de finir par cocher la case «Faire d'Internet Explorer mon navigateur par défaut». Déjà, on se demande s'il est socialement acceptable, dans le milieu des geeks, d'opérer un tel retournement de veste...
Et puis on lit, sur Wired.com : «une vulnérabilité d'Internet Explorer permet aux hackers de suivre votre curseur à l'écran» . Argh ! C'est tellement bête... On avait failli y croire.
La (grosse) bourde a été découverte par les experts en sécurité de Spider.io et concerne les version 6 à 10 du navigateur de Microsoft. La faille est particulièrement dangereuse, car il suffit, pour l'exploiter, de lancer un code malicieux via l'affichage d'une bannière de pub sur un site Internet : ainsi, tous les internautes qui visitent ce site avec Internet Explorer sont des victimes potentielles.
Le pirate est alors capable de voir leurs déplacements de curseur, «n'importe où sur l'écran, même quand la fenêtre d'Internet Explorer est "réduite" dans la barre des tâches.» Les dégâts peuvent être considérables sur les sites de banque. Si certains -- comme la BNP, Axa Banque ou la Banque Postale -- ont mis en place un clavier sécurisé qui n'affiche jamais les mêmes chiffres à la même position, la majorité d'entre elles ne prévoient pas de procédure particulière pour accéder aux comptes bancaires.
Exemple d'utilisation d'un clavier visuel sur le site d'une banque : en surveillant les mouvements du curseur, le mot de passe peut être deviné.
Il est donc possible d'y taper le mot de passe via un «clavier visuel», affiché à l'écran, et dont les chiffres sont facilement devinables par un pirate qui surveillerait la trace du curseur. Or, ce type de clavier est justement utilisé -- outre certains internautes handicapés -- par les surfeurs les plus prudents, car «il réduit les chances qu'un mot de passe soit enregistré par un logiciel de "keylogging" qui enregistre les frappes au clavier.»
Les experts de Spider.io font une démonstration sur une page dédiée (à essayer avec Internet Explorer, bien sûr) ainsi qu'en vidéo :
«L'équipe sécurité de Microsoft connaît cette vulnérabilité d'Internet Explorer, mais n'a pas de plan immédiat pour la corriger via un patch» , explique Spider.io. Selon le blog, la faille est déjà exploitée par «au moins deux régies publicitaires gérant des bannières en ligne, avec des milliards d'affichages par mois.»
Tant pis pour Internet Explorer 10. On continuera encore quelques temps à ne faire confiance qu'à la concurrence...