S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 13:06:47
Inscrit le lundi 12 mai 03 - 3178 commentaires
Idem, le problème avec les produits de microsoft c'est qu'ils sont liés au système d'exploitation tout simplement. Bref je dirais plutôt de prendre un navigateur ou un soft n'interagissant pas trop avec le système c'est à dire opera, firefox, etc...



ça c'est un mythe relayé pendant des années par des journalistes ignorants.

Le fait que IE soit livré avec windows ne réduit pas le niveau de sécurité de la machine.

IE tourne en mode utilisateur comme tous les autres navigateurs.
Le fait que explorer.exe et des tas de logiciels non microsoft utilisent le moteur d'IE ne rend pas les failles d'IE plus dangereuse puisque ces logiciels se servent du moteur d'IE pour afficher du contenu local (et non des sites servant potentiellement des exploits)

une faille dans firefox est aussi dangereuse qu'une faille dans IE (sous xp).

Cela dit depuis vista, une faille dans IE est nettement moins dangereuse qu'une faille dans firefox.

Et une faille dans flash player par exemple est nettement plus dangereuse dans firefox que dans IE (la sandbox d'IE empeche l'installation de malware en cas de faille dans IE ou un plugin)

à part que firefox les corrige...


mozilla corrige les failles de firefox avant qu'elles soient connues?

regarde les précédents bulletins de sécurité de mozilla, ils mettent parfois 4mois ou plusieurs années pour corriger les bugs qui leurs sont signalés et qui s'averent au final etre des failles critiques.
Avatar de Ph11 INpactien
Ph11 Le vendredi 15 janvier 2010 à 13:09:32
Inscrit le mardi 15 mai 07 - 8269 commentaires
:popcorn:
Avatar de jpaul INpactien
jpaul Le vendredi 15 janvier 2010 à 13:11:17
Inscrit le vendredi 9 septembre 05 - 1645 commentaires
Moralité : installer le pare-feu OpenOffice et le tour esst joué !

Enfin! Personne ne l'avait encore faite, ça m'inquiétait...
Avatar de Amethyste INpactien
Amethyste Le vendredi 15 janvier 2010 à 13:15:02
Inscrit le mardi 20 novembre 07 - 4191 commentaires
Enfin! Personne ne l'avait encore faite, ça m'inquiétait...

Albanel, c'est has been maintenant :)
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 13:18:09
Inscrit le lundi 12 mai 03 - 3178 commentaires

C'est con, un logiciel sécurisé est un logiciel sécurisé et pas un logiciel pas utilisé.


pas vraiment.
un logiciel peut avoir des failles de sécurité énormes ouvertes pendant des mois, documentées, et ne jamais être attaqué.
ça a été le cas de safari sous osx qui était vulnérable à plusieurs reprises à des failles critiques permettant d'installer des malwares sur simple visite d'une page web, et pourtant il n'y a eu officiellement aucune infection.

En l'occurence, c'est la faible part de marché des utilisateurs d'osx qui a suffit à les protéger, alors que les exploits des experts en sécurité avaient montré que les failles en question étaient parfaitement exploitables.

Pour le moment, la cible préférée des createurs de malwares, c'est Windows/flash player/java/adobe reader (IE est beaucoup moins attaqué que par le passé vu qu'il devient difficile d'y trouver des failles, et flash player permet une exploitation sur tous les navigateurs, ce qui en fait la nouvelle cible idéale)


Dans ce cas là, Windows 95 est de plus en plus sécurisé parce que plus personne ne l'utilise?


windows 95 est potentiellement compatible avec les malwares actuels.

mais je dirais que windows 3.1 est potentiellement plus sûr à utiliser que windows xp parce que personne n'ira prendre la peine d'écrire un malware pour cibler les utilisateurs de windows 3.1/IE4 (je doute même qu'il y en ait encore).

c'est uniquement une question de statistiques: tu as moins de chances de te faire attaquer si ton OS est peu utilisé, quand bien même tu n'aurais appliqué aucun patch de sécurité.

Je suis sûr que tu peux utiliser un linux non patché sans crainte pendant plusieurs mois sans te faire attaquer (du moment qu'aucun port n'est ouvert sur le net), alors que les failles sont bien présentes et dangereuses, mais personne ne tentera de les exploiter (en revanche les failles réseau dûes à apache ou ssh sont parfois exploitées par des vers ou des outils d'attaques automatiques)
Avatar de sangha INpactien
sangha Le vendredi 15 janvier 2010 à 13:18:11
Inscrit le mardi 24 novembre 09 - 5 commentaires
une faille d'IE 5 dans IE 8, 10 ans aprés?
ils foutent quoi chez Microsoft?

Bientôt on apprendra qu'une faille de win95 se trouve encore dans seven?
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 13:20:04
Inscrit le lundi 12 mai 03 - 3178 commentaires
une faille d'IE 5 dans IE 8, 10 ans aprés?
ils foutent quoi chez Microsoft?

Bientôt on apprendra qu'une faille de win95 se trouve encore dans seven?


boulet détecté

sur tous les OS on trouve fréquemment des failles qui existent depuis 10 à 20ans, pour la bonne raison que le code est rarement réécrit depuis 0. (réécrire le code depuis 0 pourrait apporter d'avantage de failles puisque le code serait moins mature)
Avatar de geekounet85 INpactien
geekounet85 Le vendredi 15 janvier 2010 à 13:21:56
Inscrit le mercredi 9 juin 04 - 8092 commentaires
il n'y a pas pire aveugle que celui qui ne veut pas voir...
Avatar de Tolor Modérateur
Tolor Le vendredi 15 janvier 2010 à 13:23:12
Inscrit le mercredi 5 août 09 - 12179 commentaires
Avatar de Crysalide INpactien
Crysalide Le vendredi 15 janvier 2010 à 13:24:19
Inscrit le mardi 24 mars 09 - 5372 commentaires
On comprend que MS ne veuille pas quitter la Chine, ça va lui permettre de couler ses concurrents et de combler les failles béantes.
;