L'actuelle version française 7.23 et la dernière version 7.50 sont toutes deux affectées par un problème de sécurité rapporté par Greymagic. Le site israélien a découvert une vulnérabilité qui prend un relief particulier alors qu'on assiste, de plus en plus massivement, à des détournements d'identité de type « phishing » par l'intermédiaire de clones frauduleux de sites officiels de banques, cybercommerçants, cartes de crédits, etc. afin de tromper la confiance des clients et les amener à livrer leurs coordonnées aux auteurs de ces sites fallacieux.

Dans Opera, la vulnérabilité était due à une mauvaise implémentation des icônes des sites Web reprises dans la barre d'adresse et les favoris/signets – favicon à la racine du site pour toutes ses pages ou pour une page spécifique <link rel="shortcut icon" href="LienVersLaFausseAdresse.gif" /> dans son en-tête. Opera autorisait les favicon larges qui permettaient de cacher la véritable URL dans la barre d'adresse et de la remplacer par l'image d'une fausse URL qui pouvait ainsi servir à tromper le visiteur. La véritable adresse qui apparaît à côté de cette fausse adresse en laquelle le visiteur a confiance peut être dissimulée en faisant afficher des espaces. Le résultat de la manipulation serait très convainquant.

Opera 7.51 au passage fournit diverses améliorations de stabilité et le support initial pour citer du texte sélectionné dans des messages. Les liens de redirection sont correctement marqués comme visités et les problème des adresses dupliquées quand on utilise « Reply all » est résolu.

Opera 7.51 est disponible en version anglaise (US) pour Windows, Linux, Mac OS, Solaris et FreeBSD.

Si Opera Software ne communique que très peu sur ses problèmes de sécurité, son service marketing sait faire résonner une remise de récompense. Ainsi Opera 7.23 vient de recevoir l'Award du meilleur navigateur Web 2004 du magazine américain PC World. En 2003, ce prix était revenu à la suite Internet Mozilla 1.3. Le magazine considère que les « options de sécurité d'Opera sont fortes et faciles à configurer ».

Prudence et bon sens contre le Phishing

Rappelons-le, les protocoles courants du courriel ne sont pas sécurisés. Les informations affichées peuvent facilement être modifiées par l'envoyeur, qu'il soit un humain ou un programme automatique. Comme les virus choisissent dans les fichiers de l'ordinateur infecté l'adresse email du destinataire comme celle de l'expéditeur apparent – inutile donc de paramétrer son antivirus pour envoyer des alertes d'infection virale à l'expéditeur, ça ne fait qu'encombrer le réseau – le « phisheur » peut se présenter comme la Citi-bank, ebay, etc. Le conseils donnés par l'Anti-Phishing Working Group relèvent surtout de la méfiance élémentaire et du bon sens. Méfiez-vous de ce qui est « urgent », surtout ce qui concerne des demandes urgentes sur des informations financières personnelles. Un indice peut consister en l'absence de personnalisation de l'email comme le pratique généralement les cybermarchands et les banques.

Dans le logiciel de courriel ou chez un webmail dans la fenêtre d'un navigateur, il est déconseillé de cliquer sur les liens d'un email. Préférez plutôt la saisie directe de l'URL dans la barre d'adresse du navigateur. Evitez aussi de remplir et de soumettre les formulaires trouvés dans un email et n'utilisez que les sites sécurisés pour fournir des numéros de carte de crédit et des informations sur un compte bancaire ou postal. Si la présence du petit cadenas fermé dans la barre d'état et du protocole https:// dans la barre d'adresse avant le nom de domaine, n'est pas suffisante pour être en confiance, leur absence lors de la soumission d'informations sensibles doit attirer l'attention.

Ce n'est pas spécifique à ce genre de problèmes mais il est fortement conseillé de s'équiper de la dernière version de ses logiciels et d'appliquer tous les patches de sécurité publiés (oui c'est du boulot pour Windows et IE) surtout pour les applications de sécurité et les logiciels communicants. Plutôt que d'essayer d'appliquer des pansements sur une jambe de bois en installant des barres d'outils spécialisées sur Internet Explorer, utilisez un navigateur moderne qui prend en compte les intérêts de ses utilisateurs avant ceux de l'entreprise (et quand on s'appelle Microsoft ça en fait beaucoup à considérer). Ainsi, Opera, le navigator de Mozilla, Firefox pour Windows, Mac OS X et Linux et Safari et Camino spécialement pour Mac OS X sont toujours meilleurs et plus sûrs que ce vieil IE 6 de l'été 2001, même équipé de toutes les méga rustines. C'est facile à installer (ils permettent d'importer les données et paramètres d'IE) et c'est gratuit (avec de la publicité pour Opera).

Evidemment, il faut toujours vérifier ses relevés de compte à la recherche d'irrégularités et d'opérations suspectes, mais ça, c'était conseillé bien avant le Phishing et les opérations bancaires et commerciales en ligne…

Source : OSNews, Opera 7.51 Released for Mac OS X, Linux, Solaris and Windows, 6 juin 2004, Carlos Vendramini

GreyMagic Software, Phishing for Opera, 3 juin 2004, découverte 16 mai 2004

ZDNet, Extorsion électronique : des millions d'Américains piégés en 2003, 6 mai 2004, Jerome Thorel avec Munir Kotadia (ZDNet UK)

Opera Software, Changelog for Opera 7.51 for Windows

Anti-Phishing Working Group, Stop Phishing and Email Scams, Consumer Advice : How to Avoid Phishing Scams