S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de vyncere INpactien
vyncere Le vendredi 15 janvier 2010 à 10:57:33
Inscrit le samedi 7 novembre 09 - 980 commentaires
C'te newz à Troll...
Avatar de huskie INpactien
huskie Le vendredi 15 janvier 2010 à 10:57:40
Inscrit le mercredi 20 avril 05 - 29925 commentaires

Faut absolument un logiciel de sécurisation.

Avatar de Reparateur INpactien
Reparateur Le vendredi 15 janvier 2010 à 10:57:52
Inscrit le mardi 29 décembre 09 - 2312 commentaires
j'avais déjas stoper IE à cause de sa vulnérabilité au attaque et ça confirme mon choix (peut être pas que les autre sont sans faille mais moins exploitées)
Avatar de noisette INpactien
noisette Le vendredi 15 janvier 2010 à 10:58:01
Inscrit le vendredi 20 mai 05 - 940 commentaires
La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.



Soyez à jour qu'ils disaient
Avatar de Ryo-Ohki INpactien
Ryo-Ohki Le vendredi 15 janvier 2010 à 10:58:02
Inscrit le lundi 15 mai 06 - 645 commentaires
sauf erreur DEP est activé par défaut dans Windows depuis XP SP2...
Avatar de geekounet85 INpactien
geekounet85 Le vendredi 15 janvier 2010 à 10:58:32
Inscrit le mercredi 9 juin 04 - 8092 commentaires
ça veut dire qu'ils utilisent IE chez google?
Avatar de noisette INpactien
noisette Le vendredi 15 janvier 2010 à 10:58:47
Inscrit le vendredi 20 mai 05 - 940 commentaires
La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.


Soyez à jour qu'ils disaient
Avatar de elieko INpactien
elieko Le vendredi 15 janvier 2010 à 10:59:41
Inscrit le mardi 8 septembre 09 - 99 commentaires
Google victime de MS?
Avatar de geekounet85 INpactien
geekounet85 Le vendredi 15 janvier 2010 à 11:00:57
Inscrit le mercredi 9 juin 04 - 8092 commentaires
sauf erreur DEP est activé par défaut dans Windows depuis XP SP2...

pas forcément je crois... et que sur les produit MS, pas sur tout!
Avatar de Serge Magneto INpactien
Serge Magneto Le vendredi 15 janvier 2010 à 11:01:36
Inscrit le mercredi 6 janvier 10 - 976 commentaires
Ça pèche à la dynamite chez PCI, le vendredi...
;