Qui ça ? Les Pirates, bien sûr ! Ah si, si, j'vous jure ! (Marie-Thérèse, ne jurez pas !) Je l'ai lu sur le site de Microsoft, dans un article intitulé Méfiez-vous des sites web usurpateurs.

Dans une attaque par usurpation, vous êtes induit en erreur lors de la visite d'un site Web malveillant. Généralement, le site tente de vous faire effectuer des actions dangereuses. Ces attaques sont de plus en plus répandues et difficiles à détecter. Par conséquent, tous les acheteurs doivent être prudents, lors de leurs visites de sites Web, dans les actions qu'ils effectuent. (...) Les personnes mal intentionnées et les auteurs de virus peuvent vous attirer vers leurs sites. Vous serez alors tenté de télécharger un programme contenant un virus ou de révéler des informations personnelles ou confidentielles.

On croit rêver ! Dans la même semaine, Microsoft nous dit de nous méfier des usurpateurs, nous annonce qu'il n'y aura pas de mise à jour de sécurité ce mois-ci et on apprend qu'il existe un trou de sécurité majeur qui permet d'une façon triviale pour n'importe qui d'usurper l'identité des sites vis-à-vis des utilisateurs d'Internet Explorer.

Oui, ça parait difficile à croire. Le Saint-Thomas qui dort en vous vient de se réveiller subitement et s'écrie Ah, je demande à voir. Soit... Un exemple ? Facile. Si vous utilisez IE6, allez sur Zap The Dingbat et cliquez sur Test Exploit. Vous voyez alors une bannière Microsoft, une URL indiquant Microsoft.com, et pourtant, vous êtes sur un autre site. On aurait pu appeler cela la technique Canada Dry. Ca a le gout du site Microsoft, la couleur du site Microsoft...

En bref, ça n'est pas en devenant parano ou en lisant des aneries qu'on est en sécurité sur le Web. C'est en utilisant un navigateur plus sécurisé. (Nota : Mozilla a lui aussi victime d'une faille très similaire et déjà résolue, mais elle n'affecte que la barre de status, laquelle n'est pas significative, dans la mesure où elle peut être modifiée via JavaScript).

Il faut dire qu'en ce moment ça doit être plus dur que jamais que je travailler chez Microsoft : comment avouer au client que la seule façon de faire ses achats en sécurité, c'est d'utiliser un navigateur concurrent ? Autant demander à Philip Morris si le tabac est dangereux. Quoique, chez Philip Morris, ils n'ont jamais eu le courage de répondre ah oui, le tabac est dangereux, on peut se brûler avec l'extremité de la cigarette ;-)