Codes malveillants
Bientôt des spywares multi-navigateurs ?
Par Jerome Saiz, le 16 mars 2005 à 11:04:00.
Un bloggeur raconte comment il s'est fait installer toute une série de spywares en visitant un site web alors qu'il utilisait le navigateur Firefox, pourtant réputé plus sûr. Comment ? L'installateur des parasites utilise Java pour commettre son forfait et non l'habituel contrôle ActiveX réservé au seul Internet Explorer. Cela lui permet de s'installer quel que soit le navigateur utilisé par l'internaute à partir du moment où Java est activé.
Si jusqu'à présent les auteurs de spywares et autres adwares se contentaient de cibler spécifiquement les utilisateurs d'Internet Explorer, certains d'entre eux semblent désormais vouloir étendre leur emprise à d'autres navigateurs. Et ils ont bien compris que la meilleure façon de toucher la quasi-totalité des butineurs est d'abandonner la technologie ActiveX, propre à Internet Explorer, pour se tourner vers quelque chose de beaucoup plus standard : Java.
Témoin la mésaventure vécue par Christopher Boyd, du blog Vitalsecurity.org. En recherchant les paroles de chansons sur un site spécialisé, avec Firefox s'il vous plaît, il se retrouve face à une fenêtre lui demandant s'il accepte de "faire confiance à l'applet signée par Integrated Search Technology".
Bien sûr, c'est là que n'importe quel internaute un peu expérimenté aurait répondu "non" et l'affaire en serait restée là. Mais de nature curieuse, Christopher Boyd a accepté. Il s'est alors immédiatement retrouvé avec une multitude de téléchargements automatiques tandis qu'une volée de modifications étaient apportées à la base de registres de Windows et qu'Internet Explorer démarrait tout seul, après avoir reçu la bénédiction d'une bonne demi-douzaine de spywares.
Quels enseignements tirer de sa mésaventure ?
Tout d'abord qu'il ne faut jamais accepter quoi que ce soit proposé spontanément durant une séance de surf. Répondre "non" à toutes les fenêtres de sollicitations un peu obscures est un réflexe nécessaire pour les internautes non-techniciens.
Ensuite qu'aucun navigateur ne garantit une sécurité à 100%. Prenons le cas de Firefox : même si aucune vulnérabilité ne permet aujourd'hui d'installer automatiquement du code sur le PC d'un utilisateur de Firefox, l'on rencontre déjà des sites qui proposent spontanément l'installation d'extensions malicieuse au format XPI, spécifique à ce navigateur. Et avec un installateur Java tel que l'a découvert Christopher Boyd cela devient vrai pour la majorité des autres navigateurs alternatifs.
Autre enseignement : bien que dans cet exemple, les codes installés étaient essentiellement des spywares destinés à Internet Explorer, une applet Java autorisée dispose en réalité des mêmes droits que n'importe quel exécutable présent sur le système. Elle peut donc installer silencieusement n'importe quoi, y compris de véritables codes malicieux tels que des keyloggers, des chevaux de Troie ou des virus, et modifier, par exemple, les règles du pare-feu de Windows afin de pouvoir communiquer à loisir avec ses créateurs.
Bref : quel que soit le navigateur utilisé pour surfer sur Internet, la seule vraie protection contre les codes malicieux est une attitude prudente et, hélas, un minimum de curiosité technique. Car la plupart des internautes qui accepteront de "faire confiance" à cette applet Java ne savent probablement pas ce qu'est une applet Java...
Précisons enfin, avant de devoir affronter une volée de courriers d'indignation, qu'il ne s'agit pas ici d'une faille de Firefox, ni de Java, mais bien d'une tentative de tromper les utilisateurs les plus naïfs quel que soit le navigateur qu'ils utilisent.
Et c'est bien là toute la nouveauté !
Plus d'information
- L'article original sur le blog Vitalsecurity.org
- Une autre démonstration illustrée de la même attaque
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéAntivirus : la révolution in the cloudLes botnets se mettent au Web 2.0Faille DNS : ça patche !Hébergement web : les serveurs dédiés victimes d'abusAT&T victime de la faille DNS de KaminskyEva Chen : "Nous perdons la bataille"De bonnes idées chez les concurrentsDécès de Christophe PipparelliUne vulnérabilité zero-day exploitée dans Microsoft Office Acesss
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
