Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Jerome Saiz (SecurityVibes)
Published on Wednesday 16 March 2005
0 comment(s) | Subnetwork France

Si jusqu'à présent les auteurs de spywares et autres adwares se contentaient de cibler spécifiquement les utilisateurs d'Internet Explorer, certains d'entre eux semblent désormais vouloir étendre leur emprise à d'autres navigateurs. Et ils ont bien compris que la meilleure façon de toucher la quasi-totalité des butineurs est d'abandonner la technologie ActiveX, propre à Internet Explorer, pour se tourner vers quelque chose de beaucoup plus standard : Java.Témoin la mésaventure vécue par Christopher Boyd, du blog Vitalsecurity.org. En recherchant les paroles de chansons sur un site spécialisé, avec Firefox s'il vous plaît, il se retrouve face à une fenêtre lui demandant s'il accepte de "faire confiance à l'applet signée par Integrated Search Technology".Bien sûr, c'est là que n'importe quel internaute un peu expérimenté aurait répondu "non" et l'affaire en serait restée là. Mais de nature curieuse, Christopher Boyd a accepté. Il s'est alors immédiatement retrouvé avec une multitude de téléchargements automatiques tandis qu'une volée de modifications étaient apportées à la base de registres de Windows et qu'Internet Explorer démarrait tout seul, après avoir reçu la bénédiction d'une bonne demi-douzaine de spywares.Quels enseignements tirer de sa mésaventure ?Tout d'abord qu'il ne faut jamais accepter quoi que ce soit proposé spontanément durant une séance de surf. Répondre "non" à toutes les fenêtres de sollicitations un peu obscures est un réflexe nécessaire pour les internautes non-techniciens.Ensuite qu'aucun navigateur ne garantit une sécurité à 100%. Prenons le cas de Firefox : même si aucune vulnérabilité ne permet aujourd'hui d'installer automatiquement du code sur le PC d'un utilisateur de Firefox, l'on rencontre déjà des sites qui proposent spontanément l'installation d'extensions malicieuse au format XPI, spécifique à ce navigateur. Et avec un installateur Java tel que l'a découvert Christopher Boyd cela devient vrai pour la majorité des autres navigateurs alternatifs.Autre enseignement : bien que dans cet exemple, les codes installés étaient essentiellement des spywares destinés à Internet Explorer, une applet Java autorisée dispose en réalité des mêmes droits que n'importe quel exécutable présent sur le système. Elle peut donc installer silencieusement n'importe quoi, y compris de véritables codes malicieux tels que des keyloggers, des chevaux de Troie ou des virus, et modifier, par exemple, les règles du pare-feu de Windows afin de pouvoir communiquer à loisir avec ses créateurs.Bref : quel que soit le navigateur utilisé pour surfer sur Internet, la seule vraie protection contre les codes malicieux est une attitude prudente et, hélas, un minimum de curiosité technique. Car la plupart des internautes qui accepteront de "faire confiance" à cette applet Java ne savent probablement pas ce qu'est une applet Java...Précisons enfin, avant de devoir affronter une volée de courriers d'indignation, qu'il ne s'agit pas ici d'une faille de Firefox, ni de Java, mais bien d'une tentative de tromper les utilisateurs les plus naïfs quel que soit le navigateur qu'ils utilisent.Et c'est bien là toute la nouveauté !

• L'article original sur le blog Vitalsecurity.org
• Une autre démonstration illustrée de la même attaque