S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de Jeru INpactien
Jeru Le vendredi 15 janvier 2010 à 12:34:29
Inscrit le samedi 10 février 07 - 1158 commentaires

Bien content d'utiliser un navigateur avec moins de 3% de part de marché car ca n'intéresse pas les hackers.

tu es un opposant chinois?
Avatar de Arcy INpactien
Arcy Le vendredi 15 janvier 2010 à 12:42:03
Inscrit le mardi 23 juin 09 - 4022 commentaires
La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.
Première fois qu'il serait recommandé de surfer via une vieille version
Avatar de ytrezaaaa INpactien
ytrezaaaa Le vendredi 15 janvier 2010 à 12:42:21
Inscrit le lundi 20 octobre 08 - 8 commentaires
Les chinois du FBI en complicité avec M$ pour descendre G00G|_€...
Mais où va-t-on ?
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 12:50:20
Inscrit le lundi 12 mai 03 - 3178 commentaires
sauf erreur DEP est activé par défaut dans Windows depuis XP SP2...


Oui, mais à cause de flash player qui n'était pas compatible à l'époque, DEP est desactivé dans Internet Explorer 6 et 7 sous XP et Vista.
Il est heureusement activable manuellement:
(sous vista, ouvrir IE7 en tant qu'admin) dans outils, options internet, avancées, protéger contre les attaques de corruption mémoire (ou un truc du genre).


Cela dit, DEP est activé sous IE8 (quel que soit l'OS), et il suffit à empecher l'exploitation de cette faille.

IE8 n'est vulnérable que si l'utilisateur a desactivé DEP...
Avatar de MdMax INpactien
MdMax Le vendredi 15 janvier 2010 à 12:54:46
Inscrit le lundi 14 mai 07 - 2960 commentaires

Cela dit, DEP est activé sous IE8 (quel que soit l'OS), et il suffit à empecher l'exploitation de cette faille.

IE8 n'est vulnérable que si l'utilisateur a desactivé DEP...


IE8 invulnérable alors ? Magnifique ! mdr2.gif
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 12:56:09
Inscrit le lundi 12 mai 03 - 3178 commentaires
ça veut dire qu'ils utilisent IE chez google?


ils doivent avoir un intranet full IE6 ;-)

et en plus ils utilisent encore XP! sinon ils n'auraient pas été vulnérables à cette attaque (mode protégé d'IE depuis vista)

Je croyais qu'il n'y avait plus de failles dans IE.
Quand tout change rien ne change, la devise de Microsoft.


personne n'a jamais dit qu'il n'y avait plus de failles.

Il a juste été dit qu'il y a nettement moins de failles dans IE
(environ une 30aine decouvertes chaque année, contre environ 120 dans firefox).

De plus, IE possède des protections contre ce genre d'attaque dans Vista/7, contrairement aux autres navigateurs (à part chrome)


j'avais déjas stoper IE à cause de sa vulnérabilité au attaque et ça confirme mon choix (peut être pas que les autre sont sans faille mais moins exploitées)


tu as tort, IE8 sous vista/7 est extremement sécurisé (pas d'installation de malware possible, même avec une faille 0day)

qu'est ce qui te prouve qu'il n'y a pas de failles 0day exploitées dans firefox ou safari actuellement (vu que tous les hackers reconnaissent qu'il est beaucoup plus facile de trouver des failles dans safari et firefox que IE) ?
avec IE au moins tu as une protection contre les attaques 0day comme celle ci :)
Avatar de geekounet85 INpactien
geekounet85 Le vendredi 15 janvier 2010 à 12:57:11
Inscrit le mercredi 9 juin 04 - 8092 commentaires
on le trouve où ? le Data executing prévention ?

Si microsoft compte le patcher rapidement inutile d'aller l'activer ?


panneau de config -> système -> onglet paramètre avancés -> paramètres (dans la partie performance) -> onglet prévention de données

Avatar de Ph11 INpactien
Ph11 Le vendredi 15 janvier 2010 à 12:59:21
Inscrit le mardi 15 mai 07 - 8269 commentaires

(environ une 30aine decouvertes chaque année, contre environ 120 dans firefox).

à part que firefox les corrige...
Avatar de link385 INpactien
link385 Le vendredi 15 janvier 2010 à 13:00:33
Inscrit le lundi 12 mai 03 - 3178 commentaires
Link385 ne vient pas nous réexpliquer les avantages de IE ?


déjà fait ^^



moralité: surfer avec[strike] FireFox [/strike]

moralité, activez le mode DEP si vous n'utilisez pas encore IE8.


C'est pas parce qu'un logiciel est peu usité qu'il faut penser que les "hackers" ne s'y intéressent pas.
C'est un raisonnement qui sonne creux.


faux
ce n'est pas un raisonnement creux, c'est un fait établi et vérifié.
ex: quand IE6 avait 90% de PDM et firefox moins de 5%, on ne trouvait des failles que dans IE6, et jamais dans firefox.

Et depuis que firefox a dépassé les 10/15% de PDM, on trouve d'avantage de failles dans firefox que dans IE.

Pourquoi? tout simplement parce que personne ne cherche de failles dans un logiciel peu utilisé. Une faille demande beaucoup d'efforts pour etre trouvée, et les hackers qui veulent faire du pognon sur l'exploitation massive d'une faille se s'attaquent qu'aux navigateurs les plus utilisés... donc traditionnellement IE. Mais firefox a par le passé plusieurs fois été victime de failles 0day, signe que les hackers commencent un peu à s'interesser à lui.
Avatar de Tarpan INpactien
Tarpan Le vendredi 15 janvier 2010 à 13:02:45
Inscrit le dimanche 2 mai 04 - 1041 commentaires
Moralité : installer le pare-feu OpenOffice et le tour esst joué !
;