S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de Tolor Modérateur
Tolor Le vendredi 15 janvier 2010 à 14:57:42
Inscrit le mercredi 5 août 09 - 12179 commentaires

oui j'ai lu, mais McAfee a dit que bien que c'était ce que supposaient initialement les experts en sécurité, il s'est avéré que la faille PDF n'a pas été exploitée dans cette attaque (à la surprise générale, puisque les failles d'IE deviennent rares maintenant et qu'il était plus probable qu'il s'agisse d'une faille adobe).

ok
Avatar de MdMax INpactien
MdMax Le vendredi 15 janvier 2010 à 14:58:15
Inscrit le lundi 14 mai 07 - 2960 commentaires
OK mais je ne comprends toujours pas le décallage entre Microsoft qui annonce qu'il n'ont pas vu de "widespread customer impact", et Google qui annonce ce qu'on peut lire dans l'article ici, ce qui est plutôt massif, important et qui concernerait 20 sociétés.


Edité par MdMax le vendredi 15 janvier 2010 à 15:03
Commentaire de Ricard supprimé le 01/01/1970 à 00:00:00 : Citation d'un commentaire supprimé
Commentaire de Tolor supprimé le 01/01/1970 à 00:00:00 : Citation d'un commentaire supprimé
Avatar de Vincent_H Equipe
Vincent_H Le vendredi 15 janvier 2010 à 15:03:42
Inscrit le jeudi 30 janvier 03 - 15419 commentaires
Pour la 698743521486e fois, si vous voyez un commentaire qui va manifestement être supprimé, ne le citez pas.
Avatar de caesar INpactien
caesar Le vendredi 15 janvier 2010 à 15:04:03
Inscrit le mardi 8 mars 05 - 2561 commentaires
Étant donné le nombre de trolls, tous ceux qui seront publiés après ce message seront supprimés et leur auteur bloqué sur cette actualité.


^^ en meme temps microsoft et google ds la meme niouze un vendredi ca me fait penser a la pêche a la dynamite

La question que je me pose, c'est si ce n'est pas une excuse (et quand bien même cela en serait une). Il faut qu'il y ai pris bien la mouche pour partir en sucette comme ca. Ca me fait penser que des propriétés intellectuelles très sensibles ou en grande quantité ont du être pompés.

le vol de certaines de ses propriétés intellectuelles.


... touche pas au grisbi.

Peut etre le code source du moteur de recherche de gougle ?

Edité par caesar le vendredi 15 janvier 2010 à 15:05
Avatar de atomusk Modérateur
atomusk Le vendredi 15 janvier 2010 à 15:13:00
Inscrit le mardi 20 juillet 04 - 21714 commentaires
OK mais je ne comprends toujours pas le décallage entre Microsoft qui annonce qu'il n'ont pas vu de "widespread customer impact", et Google qui annonce ce qu'on peut lire dans l'article ici, ce qui est plutôt massif, important et qui concernerait 20 sociétés.


Peut être le fait que Microsoft compte plus de 15 personnes et que la circulation de l'information ne se fait pas si facilement que ça

Sans compter que les user de Ms n'ont pas pu être impactés vu qu'il devrait pas y en avoir bcp qui sont sous XP/IE6

Avatar de Vincent_H Equipe
Vincent_H Le vendredi 15 janvier 2010 à 15:13:21
Inscrit le jeudi 30 janvier 03 - 15419 commentaires

^^ en meme temps microsoft et google ds la meme niouze un vendredi ca me fait penser a la pêche a la dynamite


Le fait qu'on soit vendredi ne change absolument rien. Ce n'est pas parce que vous inventez une règle que la team doit la suivre.
Avatar de tass_ INpactien
tass_ Le vendredi 15 janvier 2010 à 15:13:44
Inscrit le mardi 14 novembre 06 - 3506 commentaires
@link385 : Sans marcher dans ton sale troll puant tu me semble bien ignorant du buisness d'internet pour t'étonner que des devs de googles soient sous IE6...

Quelle entreprise sérieuse développant des applis web ne les teste pas sur TOUS les environnement possibles ? (si si même ie6... bien que nous pauvres devs on s'en passerai encore... marre de faire des feuilles de css rien que pour IE...).

Alors bref stop les "olol google sont sous ie§§§§§"
Avatar de syfer972 INpactien
syfer972 Le vendredi 15 janvier 2010 à 15:14:22
Inscrit le mercredi 8 décembre 04 - 8539 commentaires
Étant donné le nombre de trolls, tous ceux qui seront publiés après ce message seront supprimés et leur auteur bloqué sur cette actualité.

notre sauveur

je viens de lire tous les commentaires et ca devenait vraiment ridicule.
;