S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Chine : une faille 0 Day d‘Internet Explorer utilisée contre Google

Opération Aurora

Google a annoncé sur son blog avoir subi une cyber-attaque le mois dernier contre ses infrastructures chinoises, avec à la clef, le vol de certaines de ses propriétés intellectuelles. L’attaque informatique subie par la firme et une vingtaine d’autres sociétés a déjà un nom : l’Opération Aurora, nom trouvé dans les lignes de code d’un nouvel exploit « 0 Day ». Selon les investigations de l’éditeur McAfee, l’attaque s’appuie sur une faille critique non corrigée d’Internet Explorer. Et c’est donc elle qui a déclenché la goutte de trop que l’on sait entre Moutain View et les autorités chinoises.

google chine cn internet explorer

Sans évoquer la question Google, Microsoft a déjà publié un bulletin d’alerte spécial sur son site confirmant la faille, ainsi qu'un post sur son blog. La faille concerne à peu près toutes les versions d’Internet Explorer (5, 6, 7, 8) sauf Internet Explorer 5.01 Service Pack 4 sur Microsoft Windows 2000 SP4.

Elle exploite une erreur dans la gestion de la mémoire (pointeur invalide), précisément dans la manipulation de certains DOM (Document object Model) entre les mains du navigateur.

Dans le scénario d’attaque web, il suffit d’une page spécialement conçue pour exploiter la vulnérabilité. Ne reste plus alors qu’à persuader une personne de visiter la page, par exemple par le biais d’un lien dans un email, une pub, etc. pour offrir à l’attaquant le même niveau de droit que l’utilisateur local. De fait, l’internaute qui surfe avec des droits d’administrateur sera plus à risque qu’un autre...

Dans ce mauvais scénario, l’utilisateur distant pourra alors exécuter du code sur cette machine, virus et autres chevaux de Troie. Selon les premières investigations, l’attaque s’appuie justement sur un troyen qui se lance à chaque démarrage et permet au pirate de voir, créer ou modifier des informations sur la machine locale. Celui qui parvient à mener à bien cette attaque peut alors « commencer à siphonner de précieuses données de l'entreprise » souligne McAfee.

En attendant un patch officiel, les premières mesures à prendre sont listées par le site spécialisée Secuser.com. Elles consistent à activer la Data Execution Prevention (DEP) de Windows, et dans le même temps à désactiver l’Active Scripting dans les zones de sécurité "Internet" et "Intranet Local" du navigateur Internet Explorer. Précision importante : le DEP est activé par défaut depuis Windows XP SP2, rendant plus complexe l'exploitation de la faille. Il faut néanmoins activer manuellement cette protection pour Internet Explorer 6 et 7. D'autre part, sous Vista et Windows 7, Internet Explorer fonctionne dans un espace isolé.

Seule assurance : Aurora a servi à des attaques très ciblées, il n’y a pas encore d’exploitation « large ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 15/01/2010 à 10:53

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 195 commentaires

Avatar de Tresh INpactien
Tresh Le vendredi 15 janvier 2010 à 21:23:49
Inscrit le samedi 3 novembre 07 - 1402 commentaires

Et combien de failles non découvertes dans IE?

Faudrait pas oublier que l'un floute ses sources, et l'autre pas, dans cette histoire...


A ce stade là , il faudrait plutôt se demander ce que IE a de sécurisé : la liste serait moins longue.
Avatar de MasterCloud INpactien
MasterCloud Le vendredi 15 janvier 2010 à 21:34:25
Inscrit le vendredi 1 septembre 06 - 154 commentaires
Je resume :
  • Internet Explorer
  • Faille 0-Day
  • Chine
  • Google


Ah oui, quand même..
Avatar de j-c_32 INpactien
j-c_32 Le vendredi 15 janvier 2010 à 21:39:11
Inscrit le jeudi 11 juin 09 - 2277 commentaires
@ link385:

Dommage que tu orientes tjrs le débat sur le plan IE vs Firefox (ou Safari), ça décrédibilise un peu ton propos (on a l'impression que tu cherches les arguments pour valoriser IE plutot que de simplement répondre intelligent). J'ai essayé de sortir de ce genre de débat en parlant de manière générale, et j'ai même utilisé plusieurs arguments favorables à IE (par ex., je n'avais même plus en tête le fait que mozilla prévois d'isoler les processus des plugins, cet exemple était basé sur un des points forts d'IE que j'ai lu dans un de tes commentaires).

Je pense que tes premiers exemples prouvent bien qu'on ne peut pas prédire le nombre de failles futures en fonction de celles passées (ce que je dis depuis le début). D'un côté, tu dis qu'on peut très bien ne pas voir les failles pendant des années et qu'elles se révèlent par la suite, d'un autre côté, tu dis qu'un logiciel qui a plus révélés plus de failles aura probablement plus de futures failles qu'un logiciel qui en a révélé moins.

Concernant les entreprises qui ne sécurisent pas leur logiciel, on reviens sur le problème de départ: les failles détectées ont été corrigées, et n'impliquent en rien le taux de failles futures.

Concernant la victoire haut-la-main d'IE sur les trois critères, je pense que tu pousses un peu. Je suis prêt à dire que point de vue sécurité IE n'est pas mauvais (d'ailleurs, que ce serait-il passé si ç'avait été une faille de Firefox qui avait été exploité (ce qui selon moi aurait tout aussi bien pu arrivé) ?), mais je trouve la conclusion très très rapide: tout est loin d'être aussi simple, et comparer unidimensionnellement les trois points, c'est un peu conclure que tout le monde a (et aura tjrs) les mêmes besoins, ce qui serait plutot obtus comme raisonnement.
Aussi, c'est bien la première fois que j'entends qu'il y a eu des plaintes suite à un patch de Firefox. A mon avis, si on compare les mécontents dû à ça aux mécontents dû aux lenteurs d'IE, pas sûr qu'au final IE soit gagnant.
Avatar de Tolor Modérateur
Tolor Le vendredi 15 janvier 2010 à 21:39:23
Inscrit le mercredi 5 août 09 - 12180 commentaires

A ce stade là , il faudrait plutôt se demander ce que IE a de sécurisé : la liste serait moins longue.

Bon aller, je sens que ça sert a rien, mais vu ce qu'à dit vincent, ça peut pas être un troll...

Qu'est ce qu'il a de moins sécurisé que les autres?
Avatar de doctor madness INpactien
doctor madness Le vendredi 15 janvier 2010 à 21:44:00
Inscrit le lundi 30 novembre 09 - 2019 commentaires
C'est vrai qu'il y a une petite incohérence dans le propos de link385 (en tout cas je n'en saisis pas la cohérence)
prenons un logiciel toto, si il a un total de X failles, et qu'on en trouve 200, il en reste donc X-200, donc plus on trouve de failles, moins il en reste. Le problème reste qu'il est très difficile de prédire la valeur de X, qui est variable suivant les logiciels. Mais pour un logiciel donné, il vaut mieux que les failles soient trouvées le plus vite possible.

Qu'est ce qu'il a de moins sécurisé que les autres?

je ne sais pas si les autres navigateurs auraient permis cette attaque, mais toujours est il que IE a permis cette attaque.a défaut d'etre moins sécurisé (terme tres vague, et qui finalement ne signifie pas grand chose), il ne l'est pas plus sur ce point précis.

Edité par doctor madness le vendredi 15 janvier 2010 à 21:45
Avatar de Tuttle7 INpactien
Tuttle7 Le vendredi 15 janvier 2010 à 23:23:33
Inscrit le mardi 28 juillet 09 - 745 commentaires
De ce que j'ai compris, c'est tout de même une attaque ciblée faite avec des "exploits privés" et pas uniquement contre Google.
Le but recherché est semble-t-il, le code source (par les dépôts) des applications des sociétés visées..
Peut être pour mieux les analyser par la suite et trouver de nouveaux exploits contre les serveurs, comme le disait link385 l'avantage des serveurs Google est que les binaires ne sont pas publics. Maintenant ils peuvent les obtenir. J'imagine la panique chez Google.

Ca sent quand même bien les services de renseignements d'un pays, des services spécialisés dans la recherche de ces exploits existent déjà chez nous, alors pour un pays grand comme la Chine... Et en plus ils ont le culot de laisser une carte de visite comme pour dire "le vent commence à tourner".

Bon, c'étais la minute paranoïaque

J'avoue que link385 m'as presque convertis à IE Merci pour ces précisions.
Avatar de 2show7 INpactien
2show7 Le vendredi 15 janvier 2010 à 23:27:35
Inscrit le vendredi 24 juillet 09 - 9718 commentaires
L'attaque sur Google aurait pour but de faire des clones de Google à la chinoise ?

Edité par 2show7 le vendredi 15 janvier 2010 à 23:28
Avatar de 2show7 INpactien
2show7 Le vendredi 15 janvier 2010 à 23:36:31
Inscrit le vendredi 24 juillet 09 - 9718 commentaires
L'attaque sur Google aurait pour but de faire des clones de Google à la chinoise ?


c'est stupide de ma part
Avatar de MdMax INpactien
MdMax Le samedi 16 janvier 2010 à 09:20:58
Inscrit le lundi 14 mai 07 - 2974 commentaires
En tous cas le dicton marche aussi ici...

La sécurité, c'est comme la confiture. C'est ceux qui en ont le moins qui l'étalent le plus.

OK je icon_arrow.gif
Avatar de geekounet85 INpactien
geekounet85 Le samedi 16 janvier 2010 à 11:30:20
Inscrit le mercredi 9 juin 04 - 8092 commentaires
Annonce officielle d'un inpactien:

je tiens à vous faire part d'une triste nouvelle: le vendredi n'est pas et n'a jamais été un jour particulier pour les trolls. Du moins du point de vue de la rédaction.

Certes, c'est un jour particulier: la fin de la semaine.
Propice à la détente et aux blagues potaches de la part du lectorat, et peut-être d'un laxisme, quelques fois, de la part de la modération, plus par fatigue que par gentillesse, ce jour n'en reste pas moins un jour comme les autres et les trolls n'y sont toujours pas les bienvenus.

La légende perdurera encore après ce post, à n'en pas douter, mais au moins, c'est dit!

ceci dit, la source de cette légende nous ramène vers hfr, donc l'envie vous prend de troller un vendredi, allez-y là bas, apparemment c'est permis! (pardon aux familles des modos de HFR )
;