Au secours, voilà les URI !

Publié le par AGT

bugs.gifLes bugs URI font des ravages ! La plupart des logiciels utilisés couramment par les internautes sont concernés. Firefox, Adobe Reader, Skype, Miranda, mIRC, Netscape et même Second Life ont été ses premières victimes. Aujourd’hui, c’est au tour d’Outlook. Mais de quel mal souffrent exactement nos programmes préférés ? D’une vulnérabilité du type URI (“Uniform Resource Identifier”, soit “identifiant uniforme de ressource”), dont le potentiel dévastateur ne fait plus aucun doute pour les spécialistes de la sécurité informatique. Cette vulnérabilité permet de lancer n'importe quelle application sur votre ordinateur sans votre consentement, de manière à vous injecter, par exemple, un code malveillant de type “spyware”. Votre machine devenant une proie facile pour d'éventuels pirates. Pourtant, l’origine de l’URI (notion fondamentale du Web sémantique), aussi vieille que le Net, ne posait jusqu’alors aucun problème. Ainsi, tous les hyperliens du Web sont exprimés sous forme d'URI, c’est à dire d’une courte chaîne de caractères identifiant une ressource Web sur Internet. Aussi, est-il possible pour tout un chacun de créer des informations supplémentaires de manière à compléter n'importe quelle ressource s'il connaît son URI. L'URI est donc là pour identifier un objet, un concept, une action, une personne. Cette force est aussi sa faiblesse, car si l’URI est utilisée dans une URL (adresse d’un site) ou plus dangereusement dans une ligne de commande d’un logiciel, un pirate informatique peu en profiter pour s’introduire dans votre ordinateur. En l’occurrence, concernant Outlook, c’est l’URI "mailto:” qui pose problème. Le fait que seuls les PC fonctionnant sous Windows XP, avec Internet Explorer 7 installé, soient concernés pour l’instant pose la question de la responsabilité de Microsoft dans cette affaire. Microsoft dont la modification de certains URI de son système d’exploitation rend potentiellement vulnérables certaines applications. La firme de Bill Gates qui n'a pas encore fourni de mise à jour de sécurité pour ses propres logiciels, tel Outlook, considère par ailleurs que c'est aux éditeurs à s'adapter à l’environnement légèrement remanié de Windows ...

Publié dans Sécurité

Commenter cet article