Alors que Java est régulièrement au centre de problèmes de sécurité ces derniers mois, voilà que Facebook informe sur son blog d’une brèche dans ses défenses, à cause justement d’une faille Java. Selon la firme, aucune donnée personnelle n’a été dérobée.
Un malware ramené au sein des locaux
Facebook a publié une note ce week-end pour informer ses utilisateurs qu’une brèche de sécurité avait eu lieu dans les locaux de la société. Il ne s’agit pas d’une attaque directe dans le sens où des personnes malintentionnées n’ont pas volontairement pris pour cible Facebook en vue de dérober des données. Il s’agit en fait d’une chaine d’évènements qui a conduit un malware jusque dans les locaux.
Le mois dernier, plusieurs employés de Facebook ont navigué sur le site web d’un développeur. La version mobile du site était en fait contaminée par un malware. Le site lui-même contenait plusieurs méthodes pour détecter d’éventuelles failles à exploiter sur les machines des visiteurs. Une fois l’une d’elles trouvée, le malware pouvait s’installer. La cellule Sécurité de Facebook précisait en outre que les portables des employés étaient parfaitement à jour et utilisait un antivirus possédant les dernières définitions.
De retour dans les locaux, le malware a fini par être détecté. Facebook indique que les autorités ont été prévenues et qu’une enquête interne a commencé. Dans les journaux DNS, l’équipe a fini par trouver une entrée suspecte. Après analyse du malware, du site mobile du développeur et du domaine présent dans les journaux, Facebook a fini par déterminer que la faille exploitée résidait dans Java. Une faille inconnue et donc déjà exploitée : l’information a été remontée dans la foulée à Oracle.
Une faille inconnue dans Java
La faille était critique et donc particulièrement dangereuse. Exploitée, elle permettait à un code donné de « sortir » de la sandbox, autrement dit de l’espace sécurité dans lequel tout code Java est exécuté. Conséquence, une action pouvait obtenir des privilèges supérieurs. Le signalement a eu lieu il y a plusieurs semaines, et Oracle a d’ailleurs été prompt à réagir car le patch correctif est apparu le 1er février. Il est d’ailleurs depuis diffusé dans les mises à jour récentes de Java.
Facebook précise qu’elle n’est pas la seule société à avoir été attaquée de cette manière. D’autres entreprises ont été touchées par la même méthode, et les détails trouvés durant l’enquête ont été partagés.
La firme précise surtout une information, sans doute d’ailleurs la plus importante : aucune donnée personnelle n’a été volée. La phrase apparaît d’ailleurs en gras dans le billet de Facebook : « Nous n’avons trouvé aucune preuve que des données des utilisateurs ont été compromises ». Une indication suffisamment claire pour rassurer les utilisateurs devant ce type de problème.
Enfin, Facebook rappelle que toute nouvelle information au sujet d’une faille potentielle peut être envoyée au programme Bug Bounty.
Commentaires (27)
#1
Heu, je suis le seul à trouver indécent la quantité de failles présentes dans Java ? Toutes les semaines on découvre des failles critiques dans un produit utilisé par des « milliards de dispositifs à travers le monde »
" />
#2
Quelques éclaircissements car je n’ai pas interprété le post de facebook de la même manière sur tous les points :
Le mois dernier, plusieurs employés de Facebook ont navigué sur le site web d’un développeur. La version mobile du site était en fait contaminée par un malware.
Ce n’était pas la version mobile du site qui était contaminée, mais le site d’un développeur d’applis pour mobiles (c’est ce que je comprends du blog en tout cas, mais ce n’est pas très clair c’est vrai).
Le site lui-même contenait plusieurs méthodes pour détecter d’éventuelles failles à exploiter sur les machines des visiteurs.
Non, le site contenait un malware, tout simplement (probablement hébergé à l’insu du propriétaire du site).
Une fois l’une d’elles trouvée, le malware pouvait s’installer.
En fait, le malware utilisait une faille 0-day de Java pour s’installer. Je n’ai pas lu qu’il utilisait plusieurs vecteurs pour s’installer (de toute façon, une faille 0-day est généralement suffisante).
La cellule Sécurité de Facebook précisait en outre que les portables des employés étaient parfaitement à jour et utilisait un antivirus possédant les dernières définitions.
C’est ce qui me fait conclure que c’était bien une faille 0-day (corrigée depuis).
#3
#4
#5
La faille est humaine!!!
#6
#7
Encore une fois il s’agit d’une faille dans les applets Java.
Le truc que vous pouvez désactiver sans problème, pour ainsi dire aucun site ne s’en sert depuis longtemps (à part des trucs un peu spécifique genre intranet).
#8
#9
Selon la firme, aucune donnée personnelle n’a été dérobée.
Ah ah. De toutes façons, y’a pas besoin de faille Java pour que les données perso sur FB circulent
#10
La question c’est y a t il plus de failles depuis qu’Oracle est aux commandes ou alors a t on affaire à des failles que les ingés de sun négligeaient copieusement?
Si quelqu’un de connaisseur a la réponse…
Edit : merci Freud
#11
Facebook a publié une note ce week-end pour informer ses utilisateurs qu’une brèche de sécurité avait eu lieu dans les locaux de la société
Publiée mais pas du tout mise en avant
Sinon, les histoires autour de java ça devient vraiment inquiétant. La sécurité des données des internautes est compromise parce qu’une société ne fait pas bien son taf (Certes, certains viendront dire Fb = données exposées, bref…).
#12
C’est pourtant simple.
Indépendamment du ménage de sécurité : il faut faire comme dans le médical, il faut traiter un certain pourcentage de la population pour limiter une épidémie.
Oracle devrait juste désactiver le plugin web lors d’une prochaine mise à jour de Java 1.6⁄1.7.
Aux entreprises de se débrouiller pour l’activer.
#13
C’est vrai que lorsque je vais sur Facebook parfois çà ne demande si je veux exécuter un truc en Java.
Je refuse à chaque fois même si je suis à jour.
#14
Bravo la cellule de sécurité de Facebook, incapable de désactiver le plugin-java dans les navigateurs
" />
Pour ce qui est de java, il faut bien différencier le langage en lui même et la JRE. Le langage n’a pas de faille et il me semble que l’implémentation Dalvik ou OpenJDK n’ont pas trop de failles non ?
#15
La phrase apparaît d’ailleurs en gras dans le billet de Facebook : « Nous n’avons trouvé aucune preuve que des données des utilisateurs ont été compromises ».
C’est aussi valable que le contrevenant arrêté qui hurle q’il a beau avoir été flashé a 160 son compteur n’indiquait que 130.
#16
La faille était critique et donc particulièrement dangereuse. Exploitée, elle permettait à un code donné de « sortir » de la sandbox,
Preuve si il en fallait encore une, qu’une sandbox est pas forcément infaillible (que ce soit à cause de la sandbox elle même ou autre chose).
#17
Je suis quand même étonné, pour moi l’intérêt d’une sandbox c’est de limiter l’étendue d’une faille de sécurité. A quoi ça sert si c’est faillible sérieusement ? C’est dingue ça.
#18
#19
#20
#21
#22
D’apres Ars technica, la faille etait exploitée egalement sous OSX.
il me semble d’ailleurs que les hipsters qui bossent chez FB utilisent beaucoup de Macs …
Il faudrait faire la comparaison avec silverlight. Les failles sont spécifiques aux applets
tu remarqueras que Silverlight 5.1 n’a pas eu besoin de maj de sécurité depuis juin 2012.
à titre de comparaison, il est installé sur environ 50% des machines (contre 80% pour java).
bien que Silverlight ait déjà eu quelques rares failles, elles ont jamais été massivement exploitées
Je suis quand même étonné, pour moi l’intérêt d’une sandbox c’est de limiter l’étendue d’une faille de sécurité. A quoi ça sert si c’est faillible sérieusement ? C’est dingue ça
le runtime java.exe n’est PAS sandboxé au même sens que chrome et IE, car il tourne avec les mêmes privilèges que n’importe quelle appli utilisateur.
le terme sandbox est utilisé dans ce contexte avec la même signification que lorsqu’on dit que le code javascript est exécuté dans une sandbox au niveau du navigateur. Cela signifie juste que l’environnement d’exécution (que ce soit java.exe ou le navigateur) n’autorise pas le code provenant d’une source inconnue à utiliser des APIs potentiellement dangereuses (ex: accès au système de fichier)
cela n’a rien à voir avec la sandbox d’IE, chrome, ou de WinRT qui sont des mesures de protection intégrées au noyau de l’OS et qui visent à empêcher un processus tournant en mode utilisateur limité d’accéder au système de fichier (même pas aux fichiers de l’utilisateur qui l’exécute), afin de réduire les risques d’infection si le processus est compromis par une faille.
#23
#24
Panneaux de configuration -> java -> Sécurité -> Désactiver “activé le contenu java dans le navigateur”
L’avantage sous Windows c’est que le pare-feu microsoft permet de filtrer les applications pouvant se connecter à internet, la ou sur gnu/linux ca ne fonctionne qu’avec les ports(les failles fonctionnent aussi avec icedtea/openjdk), du coup c’est pas très rassurant.
#25
#26
#27
malware exploitant une faille Java
Java est un malware
La Faille de San Andreas peut etre engloutie sans problème dans celle de Java