Google piégé par une faille d'Internet Explorer

Christophe Laporte |
Internet Explorer est au coeur d'une polémique, suite aux attaques chinoises sur les serveurs de Google, et d'une vingtaine de sociétés américaines (lire : Google et le syndrome chinois). Il semble que les hackers se sont appuyés entre autres sur une faille d'Internet Explorer, qui affecte quasiment toutes les versions du navigateur de Microsoft, y compris les plus récentes.

Cette vulnérabilité due à une référence à un pointeur non valide permet à une personne malintentionnée d'exécuter du code arbitraire à distance. Concrètement pour exploiter cette faille, il faut parvenir à emmener un internaute sur une page "malicieuse". Dès qu’il s'y rend, son agresseur se retrouve avec le même niveau de droit que lui. Le hacker n'a plus ensuite qu'à se servir ou à provoquer l’installation sur la machine attaquée de virus ou Chevaux de Troie.

L'opération Aurora - c'est le nom de code qui a été donné à cette opération - se serait déroulée plus ou moins de la sorte, selon McAfee Labs. Elle a été menée avec le souci du détail. Les courriels envoyés contenant les liens vers les pages piégées ressemblaient comme deux gouttes d’eau à des messages provenant d’une personne de confiance.

Contrairement aux attaques traditionnelles, cette opération a été menée de manière très ciblée. Tout au plus, les e-mails piégés ont été adressés à quelques dizaines de personnes.

À l'heure des premiers bilans, Microsoft qui conseille à ses utilisateurs d’élever au maximum le niveau des paramètres de sécurité d’Internet Explorer, se retrouve au coeur d'une polémique, qui devrait ternir un peu plus la réputation de son navigateur web. Des organismes le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) en France et plus ou moins son équivalent allemand, le BSI, recommandent aux citoyens d'utiliser des navigateurs alternatifs, le temps que Microsoft révise sa copie.
avatar Nesus | 

google et modzila se frottent les mains...

avatar lennoyl | 

Google un peu moins...

avatar DarkMoineau | 

ça fais quand même de la pub pour Chrome.

Mais oui, Mozilla est le grand gagnant.

avatar r e m y | 

Et dire que certaines banques imposent encore Internet Explorer pour se connecter à leur site "sécurisé" de transactions bancaires en ligne!!!

avatar Arkael | 

Moi je m'estime grand gagnant avec Safari sur Mac..

avatar ziggyspider | 

Il faut bannir internet explorer, ça sera très bien pour tout le monde : utilisateurs et développeurs web !

avatar iNabil | 

@ziggyspider :

ou alors tout simplement qu'IE abandonne trident pour utiliser le webkit et participer à son développement, il ferait ainsi progresser le meilleur moteur de rendu et ferait de la concurrence supplémentaire (déjà que ça se joue serré entre safari et chrome)

avatar Oliange | 

Quelle version d'IE ? toutes ou juste la 6 ?

avatar Un Vrai Type | 

@ Oliange : la faille est dans toutes les versions.
Mais bannir juste la 6 serait suffisant pour 99,9% des arguments avancés ici.

Faut pas déconner non plus et reconnaitre les progrès d'IE dans sa version 7 et 8...

avatar Gimli fils de Gloin | 

Il est temps d'enterrer définitivement IE.

avatar bigham | 

"ça fais quand même de la pub pour Chrome."

Euh, oui et non. Parce que si des gens chez Google utilise encore Internet Explorer, ca veut dire que :

- ils ne sont pas prophètes dans leur pays

- ils considèrent eux-mêmes qu'IE est mieux pour certains trucs (aucune idée desquels personnellement)

- le responsable IT de google n'aime pas Chrome. La diversité c'est bien mais à un moment, c'est quand même navrant si une entreprise n'utilise pas ses propres produits.

avatar Terenn | 

@bigham

Moi aussi, j'ai trouvé ça bizarre.

En même temps, toute entreprise web qui prétend à l'universalité a malheureusement besoin d'IE, v6 comprise, pour tester.

avatar lordfpx | 

En gros il suffit de développer un navigateur type passoire pour hacker sans problème ? Je ne comprends pas pourquoi les hackers n'en code pas un utilisant un vieux moteur de rendu pour commettre leurs méfaits...

Soit ils sont stupides, soit ce n'est pas une simple faille de IE...

edit : je me corrige, je viens de voir qu'il faut que ce soit l'utilisateur qui utilise ce navigateur passoire, donc ça complique la donne

avatar RDBILL | 

Depuis le temps qu'on vous dit IE c'est de la m.....
Toutes les versions, même les plus récentes disent-ils ! sympa ! Vérouillez au max les sécurités de IE répond Microsoft : avec des messages paranoïaques à chaque action : vous avez demandé d'actualiser la page, il se peut que cela détruise vos données et votre ordinateur via une attaque pirate. Voulez-vous quand même actualiser la page ?

Vive Safari sur Mac !

avatar an3k | 

Youpi ! Y'a un article sur Macgé et Clubic mais avant que ma grand-mère change de navigateur il faudra surement d'autres canaux de com' !

avatar Psylo | 

Il y a aussi une faille critique d'Acrobat Reader qui a été utilisée dans cette affaire.

avatar ppj505 | 

@Oliange toutes (6,7 et 8) selon le fameux BSI cité dans l'article. J'ai lu l'article du lien cité quelque part dans la presse (je ne me souviens plus où, Le Figaro ou Le Monde... ou même MacGé ?) traduit en français où ils étaient assez catégoriques.

avatar ppj505 | 

@Oliange bis
d'ailleurs relie bien l'article au début, Christian Laporte est assez clair lui aussi là dessus : “..., y compris les plus récentes“

avatar oomu | 

@Artguillaume [17/01/2010 15:43]
>Ils ont choisi d'attaquer IE, ce qui ne veut pas dire que ce n'est pas plus facile d'attaquer mozilla.

les évidences n'ayant aucune prise sur les bornés, je dirai ceci : "amusez vous bien avec vos licornes dans fantasyland"

avatar oomu | 

y a de solides raisons pourquoi IE a TOUJOURS été victime d'attaque. son code est ancien et il avait été écrit pour gérer des horreurs comme Active X (du code natif exécuté comme si de rien n'était au sein de windows)

De plus, le code de IE est utilisé pour outlook et autres logiciels microsoft.

les seules versions de IE non dangereuses sont évidemment les dernières au sein des windows qui autorise le cloisonnement du programme (windows 2008 serveur, et windows 2003 serveur ), en mode "niveau de sécurité" maximum. Ce qui bride énormément le logiciel et c'est une bonne chose.

Google Chrome est censé utiliser toutes les techniques de cloisonnement avant d'ajouter le support de "code natif" téléchargé que google propose.

-
Microsoft eux même ont annoncé la faille. Ils donné le détail des versions de windows et ie concernés et les mécanismes qui marchent.

-
http://www.microsoft.com/technet/security/advisory/979352.mspx

vous êtes libre de ne pas croire microsoft et de continuer à croire que tout est égal, tout est pareil, que si c'est pas l'un, ça sera l'autre. Année après année c'est le même cinéma, ha mais l'année prochaine... on sait po hein !

le problème principal avec IE n'est pas la compétence de microsoft, MS a de la compétence, mais simplement, Ms a créé une situation où XP/IE 6 est _encore_ utilisé encore et encore et impossible de le patcher ou de forcer les gens à le lâcher.

or c'est de cela qu'il s'agit : il faut stopper son usage, et forcer les gens à mettre à jour leurs machines vers IE 8 ou Firefox. ou Google Chrome, peu importe, mais vers quelque chose chose de moderne et patchable.

@an3k [17/01/2010 16:11]
>Youpi ! Y'a un article sur Macgé et Clubic mais avant que ma grand-mère change de navigateur il faudra
>surement d'autres canaux de com' !

vous ! c'est votre mission !

avatar Oliange | 

@Un Vrai Type : d'accord avec tes 2 remarques.

avatar marc_os | 

[quote=Artguillaume] Ils ont choisi d'attaquer IE, ce qui ne veut pas dire que ce n'est pas plus facile d'attaquer mozilla[/quote]
De même que l'eau préfère remonter la pente, c'est bien connu, les hackers commenceraient par ce qui est le plus difficile ?
Ben voyons.
Si c'était plus facile « d'attaquer Mozilla », c'est ce que les hackers auraient fait.
Pour aller d'un point A à un point B, si c'est votre unique objectif, prenez-vous la ligne droite, ou faites-vous des détours ?

avatar alex_d_aix | 

Il semble que les hackers se [b]soient[/b] appuyés entre autres... non ? :-)

avatar Almux | 

"... recommandent aux citoyens d'utiliser des navigateurs alternatifs, le temps que Microsoft révise sa copie."
... Bon, c'est une plaisanterie, là?
IE devrait avoir disparu depuis un bon lustre, déjà! Il faut bannir cette saleté, c'est tout!

avatar MachX (non vérifié) | 

Et Safari la dedans ?

avatar macoupc | 

Pas seulement certaines banques obligent à utiliser IE mais ARTE aussi pour la VOD. Certaines fonctionnalités (qui heureusement sont souvent boudées par les utilisateurs) nécessitent même parfois un PC windows avec IE. Tant pis pour eux.

avatar Almux | 

@Artguillaume
Désolé, mais ce qui est "n'importe quoi", c'est bien IE...

avatar noAr | 

Ils gèrent bien la situation chez Google. Respect.

avatar Mabeille | 

Ils ont tous des failles de sécurité, tous, enfin je veux dire tous y compris Safari. C'est inhérant à la programation elle même. Tous les systèmes sont faillibles.

avatar OrangeOrange | 

Exprimez-vous ! Exprimez votre personnalité ! Je vous demande votre avis ! Exprimez-vous, votre opinion importe ! Votre avis nous intéresse ! Partagez vos observations, exprimez vos attentes, vos idées ! Vous pouvez vous exprimer ! Votre avis nous est utile ! Défendez votre opinion ! Exprimez votre pensée ! Faites profiter les autres de votre avis ! Nous avons besoin de votre avis ! Exprimez vos talents ! Vos témoignages sont utiles ! Nous aimerions connaitre votre opinion ! S'exprimer, c'est simple ! Votre opinion nous intéresse ! N'hésitez pas à partager votre opinion ! Donnez votre opinion ! Vous souhaitez donner votre opinion, une idée, une critique ? Venez vous exprimer ! Débattez, exprimez votre opinion en toute simplicité ! Vous aussi donnez votre avis ! Votre avis compte ! Il est temps de vous exprimer à présent ! Partagez vos idées ! Exprimez votre point de vue ! Faites connaître votre opinion ! Partagez votre opinion ! Pour vous permettre de vous exprimer !...

Exprimez-vous ! Exprimez-vous ! ... florilège d'accroches trouvées sur quelques sites, au hasard.

On vous demande partout votre avis ! Pourquoi le donnez-vous ? C’est surtout:

- pour marquer votre adhésion, remercier, encourager ?
- pour adhérer au groupe, participer à une communauté ?
- pour diffuser votre savoir, faire de la pédagogie ?
- pour questionner, apprendre, vous enrichir, comprendre ?
- pour provoquer, vous défouler, mettre le souk ?
- pour réclamer, désapprouver, marquer votre dépit ?
- pour vous faire valoir, vous vanter, vous imposer ?
- pour tuer l'ennui, passer le temps, vous divertir ?

Pour répondre à ce sondage posté sur Pnyx - exprimez-vous ! :) - , c’est ici: http://www.pnyx.com/fr_fr/poll/500

CONNEXION UTILISATEUR