Danger des fenêtres "Chromeless" sous Internet Explorer

Sous le navigateur web Internet Explorer, une fenêtre "Chromeless" est une fenêtre qui n'a aucune décoration : pas de barre de menu, pas de barre d'état, pas de cadre, … De ce fait, cette fenêtre peut être difficilement discernable, car une fois posée sur l'écran, elle peut se confondre avec le fond d’écran.

En fait, les fenêtres "Chromeless" sont des "monstres de la nature" : il n'existe aucune documentation Microsoft à leur sujet, et elles ont été découvertes par accident, par des développeurs JavaScript. Il est en effet possible, en effectuant une suite d’opérations (par exemple, créer une fenêtre "popup" plus grande que l’écran, puis la réduire) de produire une fenêtre "Chromeless".

Les fenêtres "Chromeless" sont dangereuses, car elle permettent de masquer certaines informations sur l'écran. Imaginez par exemple une petite fenêtre "Chromeless" contenant le dessin d'un cadenas fermé (symbole pour une navigation sécurisée) qui viendrait recouvrir le dessin du cadenas ouvert (symbole pour une navigation non sécurisée) qui existe sur une fenêtre standard d'Internet Explorer. Vous penserez alors être sur un site sécurisé alors que vous ne l'êtes pas ! Ce type de tromperie est possible avec les fenêtres "Chromeless" et un article récent posté dans Bugtraq le montre clairement en livrant une démonstration où le champ "URL" d'une fenêtre est masqué par un dessin fixe contenant une chaîne de caractères du type : https://www.mabanque.com.

En fait, les fenêtres "Chromeless" permettent en théorie toutes les attaques reposant sur le principe de masquage d'une information. Par exemple, il est aussi possible de masquer un message d'avertissement du type "Attention, vous êtes sur le point de télécharger un ActiveX non sûre ; voulez-vous continuer !" par une "Chromeless" disant "Cliquez sur OK pour rentrer sur le site !".

Pour ces raisons, la possibilité de créer des fenêtres "Chromeless" a été supprimée par Microsoft dans le SP3 de Windows 2000 (et le SP1 de IE 6) en septembre 2002 (il fait partie des bugs indiqués comme corrigés dans le SP3). Mais très récemment, une nouvelle méthode a été trouvée pour contourner cette correction … et le problème redevient donc d'actualité.

Les utilisateurs de Internet Explorer qui n'autorisent pas l'exécution de "Javascript" ne sont pas exposés à ce risque (les fenêtres "Chromeless" sont créées au moyen de code Javascript). Pour les autres utilisateurs de Internet Explorer, il ne reste que la vigilance. Si par exemple, vous remarquez que certaines zones écrans sont tronquées, ou mal ajustées, c'est peut-être qu'une fenêtre "Chromeless" pas parfaitement ajustée s'est posée sur votre écran.

Pour plus d'information

• Démonstration de fenêtres "Chromeless" : http://www.doxdesk.com/personal/posts/bugtraq/200030713-ie

• Qu'est ce qu'une fenêtre "Chromeless" : http://home.att.net/~wshvbs/wshChromelessIEDialogs_IE6sp1_Page.htm