Voilà qui arrange les affaire des phishers. Internet Explorer leur permet désormais de faire afficher l’adresse de leur choix dans la barre du navigateur tout en contrôlant le contenu qui apparaît à l’écran.Cette astuce ouvre la voie à des sites de phishing plus vrais que nature, puisque la barre d’adresse du navigateur indiquera la « vraie » URL du site imité au lieu de celle d’un serveur anonyme situé quelque part à l’autre bout du monde.Dans le détail, la vulnérabilité exploite une erreur de timing : le pirate affiche une application Flash sur son propre site, et avant qu’elle ne soit entièrement chargée il modifie grâce à Javascript l’adresse sur laquelle doit pointer le navigateur, en spécifiant celle du site légitime qu’il tente d’imiter.La redirection ne s’exécute toutefois pas immédiatement, car l’application Flash doit finir de se charger. Cependant, une fois que c’est fait, Internet Explorer a « oublié » qu’il doit aller à une autre adresse. Mais il affiche tout de même cette dernière dans sa barre d’URL, en même temps que le contenu de l’application Flash.Les dernières versions du navigateur, y compris sur un Windows XP entièrement à jour, sont vulnérables et il n’existe encore aucun correctif. Microsoft devrait cependant publier une rustine la semaine prochaine à l’occasion de sa livraison mensuelle.D’ici là, même si aucune exploitation n’a encore été rapportée, mieux vaut être vigilant et désactiver Flash ou changer de navigateur. Car l’attaque n’est pas que théorique : plusieurs codes d’exploitation circulent, dont celui de Hai Nam Luke, le découvreur de la faille. Le site spécialisé Secunia a quant à lui mis en ligne une démonstration tout à fait efficace, comme le montre notre illustration.Même un Internet Explorer entièrement à jour est vulnérable à la faille découverte par Hai Nam Luke.Testée avec Safari et Firefox, cette démonstration a révélé qu’aucun des deux navigateurs n’est vulnérable. Safari ignore totalement l’application Flash et se contente de pointer naturellement vers Google. Firefox 1.5.01 (sous MacOS X et Windows) affiche quant à lui bien la mire Flash mais ne trompe pas l’utilisateur : il lui montre la véritable adresse du site.