Mai 2012
Google piégé par une faille d'Internet Explorer
par Christophe Laporte le 17.01.2010 à 10:34
Internet Explorer est au coeur d'une polémique, suite aux attaques chinoises sur les serveurs de Google, et d'une vingtaine de sociétés américaines (lire : Google et le syndrome chinois). Il semble que les hackers se sont appuyés entre autres sur une faille d'Internet Explorer, qui affecte quasiment toutes les versions du navigateur de Microsoft, y compris les plus récentes.
Cette vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Concrètement pour exploiter cette faille, il faut parvenir à emmener un internaute sur une page "malicieuse". Dès qu’il s'y rend, son agresseur se retrouve avec le même niveau de droit que lui. Le hacker n'a plus ensuite qu'à se servir ou à provoquer l’installation sur la machine attaquée de virus ou Chevaux de Troie.
L'opération Aurora - c'est le nom de code qui a été donné à cette opération - se serait déroulée plus ou moins de la sorte, selon McAfee Labs. Elle a été menée avec le souci du détail. Les courriels envoyés contenant les liens vers les pages piégées ressemblaient comme deux gouttes d’eau à des messages provenant d’une personne de confiance.
Contrairement aux attaques traditionnelles, cette opération a été menée de manière très ciblée. Tout au plus, les e-mails piégés ont été adressés à quelques dizaines de personnes.
À l'heure des premiers bilans, Microsoft qui conseille à ses utilisateurs d’élever au maximum le niveau des paramètres de sécurité d’Internet Explorer, se retrouve au coeur d'une polémique, qui devrait ternir un peu plus la réputation de son navigateur web. Des organismes le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) en France et plus ou moins son équivalent allemand, le BSI, recommandent aux citoyens d'utiliser des navigateurs alternatifs, le temps que Microsoft révise sa copie.
Cette vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Concrètement pour exploiter cette faille, il faut parvenir à emmener un internaute sur une page "malicieuse". Dès qu’il s'y rend, son agresseur se retrouve avec le même niveau de droit que lui. Le hacker n'a plus ensuite qu'à se servir ou à provoquer l’installation sur la machine attaquée de virus ou Chevaux de Troie.
L'opération Aurora - c'est le nom de code qui a été donné à cette opération - se serait déroulée plus ou moins de la sorte, selon McAfee Labs. Elle a été menée avec le souci du détail. Les courriels envoyés contenant les liens vers les pages piégées ressemblaient comme deux gouttes d’eau à des messages provenant d’une personne de confiance.
Contrairement aux attaques traditionnelles, cette opération a été menée de manière très ciblée. Tout au plus, les e-mails piégés ont été adressés à quelques dizaines de personnes.
À l'heure des premiers bilans, Microsoft qui conseille à ses utilisateurs d’élever au maximum le niveau des paramètres de sécurité d’Internet Explorer, se retrouve au coeur d'une polémique, qui devrait ternir un peu plus la réputation de son navigateur web. Des organismes le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) en France et plus ou moins son équivalent allemand, le BSI, recommandent aux citoyens d'utiliser des navigateurs alternatifs, le temps que Microsoft révise sa copie.
|
3
2
1
Vos réactions (34 réactions)
Nesus
[17/01/2010 10:51]
google et modzila se frottent les mains...
google et modzila se frottent les mains...
lennoyl
[17/01/2010 11:18]
Google un peu moins...
Google un peu moins...
DarkMoineau
[17/01/2010 11:50]
ça fais quand même de la pub pour Chrome.
Mais oui, Mozilla est le grand gagnant.
ça fais quand même de la pub pour Chrome.
Mais oui, Mozilla est le grand gagnant.
r e m y
[17/01/2010 11:53]
Et dire que certaines banques imposent encore Internet Explorer pour se connecter à leur site "sécurisé" de transactions bancaires en ligne!!!
Et dire que certaines banques imposent encore Internet Explorer pour se connecter à leur site "sécurisé" de transactions bancaires en ligne!!!
Arkael
[17/01/2010 11:57]
Moi je m'estime grand gagnant avec Safari sur Mac..
Moi je m'estime grand gagnant avec Safari sur Mac..
ziggyspider
[17/01/2010 11:59]
Il faut bannir internet explorer, ça sera très bien pour tout le monde : utilisateurs et développeurs web !
Il faut bannir internet explorer, ça sera très bien pour tout le monde : utilisateurs et développeurs web !
iNabil
[17/01/2010 13:08]
@ziggyspider :
ou alors tout simplement qu'IE abandonne trident pour utiliser le webkit et participer à son développement, il ferait ainsi progresser le meilleur moteur de rendu et ferait de la concurrence supplémentaire (déjà que ça se joue serré entre safari et chrome)
@ziggyspider :
ou alors tout simplement qu'IE abandonne trident pour utiliser le webkit et participer à son développement, il ferait ainsi progresser le meilleur moteur de rendu et ferait de la concurrence supplémentaire (déjà que ça se joue serré entre safari et chrome)
Oliange
[17/01/2010 13:11]
Quelle version d'IE ? toutes ou juste la 6 ?
Quelle version d'IE ? toutes ou juste la 6 ?
Un Vrai Type
[17/01/2010 13:33]
@ Oliange : la faille est dans toutes les versions.
Mais bannir juste la 6 serait suffisant pour 99,9% des arguments avancés ici.
Faut pas déconner non plus et reconnaitre les progrès d'IE dans sa version 7 et 8...
@ Oliange : la faille est dans toutes les versions.
Mais bannir juste la 6 serait suffisant pour 99,9% des arguments avancés ici.
Faut pas déconner non plus et reconnaitre les progrès d'IE dans sa version 7 et 8...
Gimli fils de Gloin
[17/01/2010 13:35]
Il est temps d'enterrer définitivement IE.
Il est temps d'enterrer définitivement IE.
bigham
[17/01/2010 13:45]
"ça fais quand même de la pub pour Chrome."
Euh, oui et non. Parce que si des gens chez Google utilise encore Internet Explorer, ca veut dire que :
- ils ne sont pas prophètes dans leur pays
- ils considèrent eux-mêmes qu'IE est mieux pour certains trucs (aucune idée desquels personnellement)
- le responsable IT de google n'aime pas Chrome. La diversité c'est bien mais à un moment, c'est quand même navrant si une entreprise n'utilise pas ses propres produits.
"ça fais quand même de la pub pour Chrome."
Euh, oui et non. Parce que si des gens chez Google utilise encore Internet Explorer, ca veut dire que :
- ils ne sont pas prophètes dans leur pays
- ils considèrent eux-mêmes qu'IE est mieux pour certains trucs (aucune idée desquels personnellement)
- le responsable IT de google n'aime pas Chrome. La diversité c'est bien mais à un moment, c'est quand même navrant si une entreprise n'utilise pas ses propres produits.
Terenn
[17/01/2010 14:32]
@bigham
Moi aussi, j'ai trouvé ça bizarre.
En même temps, toute entreprise web qui prétend à l'universalité a malheureusement besoin d'IE, v6 comprise, pour tester.
@bigham
Moi aussi, j'ai trouvé ça bizarre.
En même temps, toute entreprise web qui prétend à l'universalité a malheureusement besoin d'IE, v6 comprise, pour tester.
lordfpx
[17/01/2010 15:10]
En gros il suffit de développer un navigateur type passoire pour hacker sans problème ? Je ne comprends pas pourquoi les hackers n'en code pas un utilisant un vieux moteur de rendu pour commettre leurs méfaits...
Soit ils sont stupides, soit ce n'est pas une simple faille de IE...
edit : je me corrige, je viens de voir qu'il faut que ce soit l'utilisateur qui utilise ce navigateur passoire, donc ça complique la donne
En gros il suffit de développer un navigateur type passoire pour hacker sans problème ? Je ne comprends pas pourquoi les hackers n'en code pas un utilisant un vieux moteur de rendu pour commettre leurs méfaits...
Soit ils sont stupides, soit ce n'est pas une simple faille de IE...
edit : je me corrige, je viens de voir qu'il faut que ce soit l'utilisateur qui utilise ce navigateur passoire, donc ça complique la donne
RDBILL
[17/01/2010 15:17]
Depuis le temps qu'on vous dit IE c'est de la m.....
Toutes les versions, même les plus récentes disent-ils ! sympa ! Vérouillez au max les sécurités de IE répond Microsoft : avec des messages paranoïaques à chaque action : vous avez demandé d'actualiser la page, il se peut que cela détruise vos données et votre ordinateur via une attaque pirate. Voulez-vous quand même actualiser la page ?
Vive Safari sur Mac !
Depuis le temps qu'on vous dit IE c'est de la m.....
Toutes les versions, même les plus récentes disent-ils ! sympa ! Vérouillez au max les sécurités de IE répond Microsoft : avec des messages paranoïaques à chaque action : vous avez demandé d'actualiser la page, il se peut que cela détruise vos données et votre ordinateur via une attaque pirate. Voulez-vous quand même actualiser la page ?
Vive Safari sur Mac !
Artguillaume
[17/01/2010 15:43]
Ils ont choisi d'attaquer IE, ce qui ne veut pas dire que ce n'est pas plus facile d'attaquer mozilla.
Ils ont choisi d'attaquer IE, ce qui ne veut pas dire que ce n'est pas plus facile d'attaquer mozilla.
3
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.