Il s'agit de l'une de ces alertes pour laquelle il n'est pas besoin d'hésiter : la vulnérabilité qui frappe Yahoo! Messenger sous Windows est suffisamment sérieuse pour que l'éditeur appelle à la mise à jour immédiate du programme.

Il faut cependant reconnaître que l'alerte est de taille : la vulnérabilité frappe deux composants ActiveX relatifs à la webcam et installés avec le logiciel. En les exécutant via Internet Explorer (donc depuis une page web par exemple), il est possible de prendre le contrôle de l'ordinateur. Et ce que les pirates en font ensuite n'est plus un secret depuis longtemps : ils deviennent généralement des PC zombies à leur service, et bien entendu à l'insu de leur propriétaire légitime.

La vulbérabilité est aujourd'hui exploitée sur Internet, et selon Symantec plusieurs sites web l'utilisent déjà pour infecter leurs visiteurs. Rappelons qu'une telle pratique n'est pas limitée aux sites web pirates pourvoyeurs de "warez" et autre délicatesses illégales. Les hackers détournent également des sites légitimes bien connus afin qu'ils infectent eux aussi leurs visiteurs (comme cela a déjà été le cas pour le site d'une équipe de football américain peu avant la finale du Superbowl, l'événement sportif majeur aux Etats-Unis).

Yahoo! a cependant fait preuve d'une grande réactivité en proposant une nouvelle version vingt-quatre heures seulement après que la vulnérabilité ait été rendue publique par la société eEye. Adeptes de Yahoo! Messenger, il est donc temps de mettre votre logiciel à jour. Vous êtes particulièrement vulnérables tant que vous n'êtes pas passés par la case "Rustine" !

Et pour les plus sceptiques de nos lecteurs réguliers, non, cette annonce n'a rien à voir avec notre dernier poisson d'avril en date, malgré sa similitude !

• L'alerte de eEye (en anglais)
• L'alerte sur le site de Yahoo! (en anglais)
• La nouvelle version de Yahoo! Messenger