articles
réactions
Jeff - 09.02.2007 | 2 réactions | #link | rss
Au final, qu'est-ce que le web? Du texte, de la forme, les 2?

Si l'homme a inventé l'écriture, la machine lui permet d'aller bien au-delà, à se demander qui contrôle l'autre.

Petite vidéo:



Enjoy!
Jeff - 06.02.2007 | 0 réactions | #link | rss
Les failles dites "client-side" concernent plus particulièrement les utilisateurs et leur poste de travail. En effet, ces failles s'appliquent aux logiciels de bureautique courants et non aux systèmes serveurs et autres mainframes.

Par définition, la principale victime est donc l'utilisateur du poste; par rebond, tout son voisinage réseau peut également être infecté (ce qui présente un intérêt dans le cas d'un employé travaillant sur le réseau de son entreprise, moins dans le cas du consommateur de base). Ainsi, il n'est pas rare de voir les plus grands acteurs (sic) du domaine de la sécurité se heurter à des infrastructures bien protégées puis viser les employés pour ensuite réussir à remonter vers les serveurs. Je ne leur jette pas la pierre, quand il n'y a pas le choix il faut bien s'en contenter...

Pour les internautes privés, les enjeux sont tout autres cependant. D'une part, les risques pris par un pirate sont très faibles, d'autre part les bénéfices sont multiples: une fois le poste de l'internaute contrôlé, il est virtuellement possible d'en faire ce que l'on veut. Envoyer ou relayer du mail et du spam, créer des réseaux de machines pour spammer massivement, héberger de faux sites webs, voler ou espionner des informations privées telles que numéros de cartes bancaires, identités, forcer l'achat de logiciels, etc...

Pour les anglophones, allez vous faire peur avec cette petite vidéo: quand un vers intègre une faille client-side (VML, dans IE). En gros, en prenant l'exemple de MySpace (voir mon post précédent), l'attaquant compromet un utilisateur, lui injecte son code, qui lui-même se répand par email entre les utilisateurs de Myspace, qui à leur tour sont infectés en ouvrant ce mail, etc, etc...
L'histoire originale du vers est disponible ici. Il n'utilisait pas de faille client-side, mais a réussi à compromettre plus d'1 million de comptes en 20h.


L'utilisation de failles client-side permettrait d'attaquer directement les postes des utilisateurs et non leurs comptes web. Les conséquences seraient catastrophiques.

Pour enfoncer un peu le clou, ces failles existent pour une multitude (la totalité?) d'applications courantes:

  • Microsoft Office (Word, Excel, Access, etc.): les fichiers peuvent contenir macros, virus, buffer overflows...

  • Acrobat Reader (fichiers PDF): multiples failles dans les plugins de navigateur, heap overflow dans le reader (critique).

  • Emails: attaques de phishing, XSS et autres manipulations des URLs.

  • VCard: buffer overflows divers et variés.

  • Pages web: tout contenu actif peut intégrer des virus ou autres (ActiveX, etc.)

  • Java: buffer overflow dans la JVM (critique)

  • Winzip: buffer overflows dans l'application (ici).

  • Images (JPG, WMF, VML, GIF, etc) : multiples vulnérabilités critiques.

FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch