|
|
Acteurs |
Quand
Yahoo protège ses e-mails, les utilisateurs en pâtissent |
Yahoo change certains mots des messages, correspondant à des commandes Java, pour protéger ses utilisateurs. Une méthode atypique pour régler un problème connu. (Vendredi 19 juillet
2002) |
|
Yahoo offre un traitement de faveur
aux utilisateurs anglophones de son service e-mail gratuit
(@yahoo.com). Lors de l'envoi de messages au format HTML,
les destinataires ont pu assister au remplacement de certains
mots "dangereux", au sens Javascript du terme.
Yahoo, soucieux de la sécurité de ses utilisateurs,
a décidé, sans les en avertir, d'éradiquer
certains mots de leurs messages. Ces mots correspondent
à des commandes Javascript. Utilisées par
une personne mal intentionnée, elles pourraient
se révéler dangereuses. La pot aux roses
a été découvert par le site britannique
NTK.
Les amateurs de café trinquent
Le mot par lequel le scandale arriva est "mocha"
(moka, en français). Utilisé dans un message
HTML à destination d'un utilisateur d'un compte
Yahoo, il est automatiquement transformé en "espresso".
Le mot correspond à la commande "mocha:".
A partir d'un e-mail traité dans une page Web,
cette commande saisie dans la barre d'adresse ouvre une
fenêtre dans laquelle on peut saisir du texte. Un
hacker pourrait s'en servir pour changer le mot de passe
d'un utilisateur sans que celui-ci s'en aperçoive.
Mieux vaut prévenir que guérir, doit-on
se dire chez Yahoo. Ainsi, le même traitement est
réservé à six autres mots (eval devient
review, expression -> statement, javascript -> java-script,
jscript -> j-script, vbscript -> vb-script et livescript
-> live-script), et ce même si l'expression à
bannir est partie intégrante d'un mot (exemple,
"eval" dans "evaluate", qui signifie
"évaluer"). Les conséquences peuvent
donc s'avérer surprenantes. Par exemple, une recherche
effectuée aujourd'hui sur "medireview" ("medieval"
transformé par Yahoo), terme qui n'est référencé
dans aucun dictionnaire, avec le moteur de recherche Google,
donne 1170 résultats. Le terme s'est glissé dans de nombreux
endroits (articles universitaires, biliographies, critiques
de livres
) à tel point que les gens ont commencé à se
poser des questions sur son origine !
D'autres
méthodes existent
Yahoo utilise un logiciel qui scanne les mails et remplace
automatiquement les mots jugés dangereux. Il convient
de préciser que ces problèmes ne concernent
pas les messages au format texte brut. Mary Osako, porte
parole interrogée chez Yahoo, précise que
seule la sécurité des utilisateurs est en
jeu. Le fournisseur n'est d'ailleurs pas le seul à
effectuer ce genre de filtrage, mais pas avec la même
méthode. Le risque émanant des commandes
Javascript est connu et déjà traité dans les messages
ou les chat rooms par d'autres fournisseurs. Il suffirait
de filtrer les commandes Javascript ou les balises HTML
pour éviter les risques de piratage, sans nécessairement
changer les mots du message.
Yahoo n'a pas souhaité dire depuis combien de temps
le filtrage est effectif. Néanmoins, selon NTK,
il semblerait qu'il dure depuis plus d'un an. Les premières
traces datant de mars 2001. Mais comme aucune déclaration
n'a été faite par les dirigeants de Yahoo, très peu de
gens ont remarqué le problème. Un test, faisant suite
à l'article paru sur le site NTK, a été
réalisé mercredi. Les mots "mocha"
et "evaluate" n'ont pas été modifiés.
Yahoo aurait-il encore une fois agi en douce ?
Jusqu'ici
aucun communiqué officiel n'a été
diffusé...
|
|
|