Une faille dans Safari (iOS) et Edge (Windows 10) découverte par le chercheur en sécurité Rafay Baloch ouvre la possibilité à un pirate de subtiliser en toute discrétion des informations précieuses.
La page web se charge normalement, avec son URL légitime dans la barre d’adresses du navigateur ; la faille permet au malandrin de modifier rapidement le code de la page web pour y injecter du code dangereux, le tout sans que l’URL ne change.
Le brigand est donc en mesure de créer une fausse page contenant un formulaire de connexion ou de renseignements privés : à lui les identifiants, mots de passe, numéros de cartes bancaires et autres informations confidentielles de ses victimes.
Et après tout, pourquoi ces victimes devraient-elles s’inquiéter ? L’adresse du site web restant la même, il n’y a donc aucune raison de craindre un vol de données. Le chercheur a prévenu Microsoft et Apple de la présence de cette faille le 2 juin, en laissant aux deux éditeurs 90 jours pour y remédier (un délai standard pour une telle procédure).
Le 14 août, Microsoft bouchait le trou dans Edge, mais pour ce qui concerne Apple, aucune info n’a filtré. Les trois mois étant passés, Rafay Baloch peut désormais révéler publiquement le problème, sans toutefois publier le code permettant de l’exploiter.
Source :
