Sécurité IT : les éditeurs musclent leur jeu face aux cyber-criminels

A l’heure où les attaques informatiques se recentrent sur les navigateurs Web et leurs plugins, Internet Explorer et Flash constituent les cibles privilégiées des pirates. C’est l’une des principales conclusions établies par les experts en sécurité IT de Bromium dans la dernière vague de leur baromètre « Endpoint Exploitation Trends » (document PDF, 12 pages).

Au 1^er semestre 2014, pas moins de 133 vulnérabilités ont été signalées dans le butineur de Microsoft. Des traces d’exploitation ont été découvertes pour trois d’entre elles. A leur origine, on trouve quasi systématiquement une corruption de mémoire permettant d’utiliser le ROP (« Return Oriented Programming »). Fonctionnant dans le cas où les systèmes d’exploitation disposent de protections particulières (bit NX, DEP, ASLR…), cette technique se base sur les dépassements de buffers (stack, heap overflow). Elle consiste à utiliser des portions de librairies existant en mémoire afin de reconstruire du code utile à l’attaquant.

Si Internet Explorer bat un record en matière de correctifs déployés, c’est aussi parce que Microsoft s’implique davantage dans sa sécurisation : alors que le premier patch pour IE9 était sorti après plus de trois mois, le délai avait été réduit à moins de deux semaines pour IE10… et à 5 jours pour IE11.

Avec la médiatisation des cyber-attaques et l’agilité dont les pirates font preuve pour s’attaquer au maillon le plus faible de la chaîne, les éditeurs ont pris à bras-le-corps la question de la sécurité. Mais des failles subsistent toujours. Et quand bien même les navigateurs font l’objet de tous les soins, la fragilité des plugins expose à de nombreux risques. Illustration avec les fonctionnalités ajoutées fin 2013 dans Adobe Flash, qui ont rapidement été exploitées, notamment dans la machine virtuelle ActionScript.

La visionneuse PDF Adobe Reader a pour sa part subi une attaque-éclair pendant quelques semaines entre décembre 2013 et janvier 2014, via deux vulnérabilités (CVE-2013-3346 et CVE-2013-5056) qui permettaient de contourner la sandbox. Quant à Java, vecteur d’attaque privilégié au cours des deux dernières années… il n’a officiellement subi, au 1^er semestre 2014, aucune attaque exploitant des failles 0-day (méconnues du public). C’est sans doute la conséquence des mesures prises par les éditeurs de navigateurs Web : les anciennes versions du plugin d’Oracle sont bloquées par défaut et l’utilisateur doit maintenant approuver l’exécution des applets.

Si Internet Explorer figure en tête sur la liste des victimes, Google Chrome n’est pas épargné (52 vulnérabilités corrigées), au même titre que Mozilla Firefox (61 vulnérabilités).

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les principaux navigateurs Web du marché ?

Crédit illustration : wallace wainhouse – Shutterstock.com