Quand Yahoo protège ses e-mails,
les utilisateurs en pâtissent Par le JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0207/020719_mocha_yahoo.shtml Vendredi 19 juillet 2002
|
|||
Les amateurs de café trinquent Le mot par lequel le scandale arriva est "mocha" (moka, en français). Utilisé dans un message HTML à destination d'un utilisateur d'un compte Yahoo, il est automatiquement transformé en "espresso". Le mot correspond à la commande "mocha:". A partir d'un e-mail traité dans une page Web, cette commande saisie dans la barre d'adresse ouvre une fenêtre dans laquelle on peut saisir du texte. Un hacker pourrait s'en servir pour changer le mot de passe d'un utilisateur sans que celui-ci s'en aperçoive. Mieux vaut prévenir que guérir, doit-on se dire chez Yahoo. Ainsi, le même traitement est réservé à six autres mots (eval devient review, expression -> statement, javascript -> java-script, jscript -> j-script, vbscript -> vb-script et livescript -> live-script), et ce même si l'expression à bannir est partie intégrante d'un mot (exemple, "eval" dans "evaluate", qui signifie "évaluer"). Les conséquences peuvent donc s'avérer surprenantes. Par exemple, une recherche effectuée aujourd'hui sur "medireview" ("medieval" transformé par Yahoo), terme qui n'est référencé dans aucun dictionnaire, avec le moteur de recherche Google, donne 1170 résultats. Le terme s'est glissé dans de nombreux endroits (articles universitaires, biliographies, critiques de livres ) à tel point que les gens ont commencé à se poser des questions sur son origine ! D'autres méthodes existent Yahoo utilise un logiciel qui scanne les mails et remplace automatiquement les mots jugés dangereux. Il convient de préciser que ces problèmes ne concernent pas les messages au format texte brut. Mary Osako, porte parole interrogée chez Yahoo, précise que seule la sécurité des utilisateurs est en jeu. Le fournisseur n'est d'ailleurs pas le seul à effectuer ce genre de filtrage, mais pas avec la même méthode. Le risque émanant des commandes Javascript est connu et déjà traité dans les messages ou les chat rooms par d'autres fournisseurs. Il suffirait de filtrer les commandes Javascript ou les balises HTML pour éviter les risques de piratage, sans nécessairement changer les mots du message. Yahoo n'a pas souhaité dire depuis combien de temps le filtrage est effectif. Néanmoins, selon NTK, il semblerait qu'il dure depuis plus d'un an. Les premières traces datant de mars 2001. Mais comme aucune déclaration n'a été faite par les dirigeants de Yahoo, très peu de gens ont remarqué le problème. Un test, faisant suite à l'article paru sur le site NTK, a été réalisé mercredi. Les mots "mocha" et "evaluate" n'ont pas été modifiés. Yahoo aurait-il encore une fois agi en douce ? Jusqu'ici aucun communiqué officiel n'a été diffusé... [Serge Descombes, JDNet] |