Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : les éditeurs musclent leur jeu face aux cyber-criminels

A l’heure où les attaques informatiques se recentrent sur les navigateurs Web et leurs plugins, Internet Explorer et Flash constituent les cibles privilégiées des pirates. C’est l’une des principales conclusions établies par les experts en sécurité IT de Bromium dans la dernière vague de leur baromètre « Endpoint Exploitation Trends » (document PDF, 12 pages).

Au 1er semestre 2014, pas moins de 133 vulnérabilités ont été signalées dans le butineur de Microsoft. Des traces d’exploitation ont été découvertes pour trois d’entre elles. A leur origine, on trouve quasi systématiquement une corruption de mémoire permettant d’utiliser le ROP (« Return Oriented Programming »). Fonctionnant dans le cas où les systèmes d’exploitation disposent de protections particulières (bit NX, DEP, ASLR…), cette technique se base sur les dépassements de buffers (stack, heap overflow). Elle consiste à utiliser des portions de librairies existant en mémoire afin de reconstruire du code utile à l’attaquant.

Si Internet Explorer bat un record en matière de correctifs déployés, c’est aussi parce que Microsoft s’implique davantage dans sa sécurisation : alors que le premier patch pour IE9 était sorti après plus de trois mois, le délai avait été réduit à moins de deux semaines pour IE10… et à 5 jours pour IE11.

Avec la médiatisation des cyber-attaques et l’agilité dont les pirates font preuve pour s’attaquer au maillon le plus faible de la chaîne, les éditeurs ont pris à bras-le-corps la question de la sécurité. Mais des failles subsistent toujours. Et quand bien même les navigateurs font l’objet de tous les soins, la fragilité des plugins expose à de nombreux risques. Illustration avec les fonctionnalités ajoutées fin 2013 dans Adobe Flash, qui ont rapidement été exploitées, notamment dans la machine virtuelle ActionScript.

Particulièrement vulnérables, les navigateurs Web restent des vecteurs d’attaque privilégiés (source National Vulnerability Database).

La visionneuse PDF Adobe Reader a pour sa part subi une attaque-éclair pendant quelques semaines entre décembre 2013 et janvier 2014, via deux vulnérabilités (CVE-2013-3346 et CVE-2013-5056) qui permettaient de contourner la sandbox. Quant à Java, vecteur d’attaque privilégié au cours des deux dernières années… il n’a officiellement subi, au 1er semestre 2014, aucune attaque exploitant des failles 0-day (méconnues du public). C’est sans doute la conséquence des mesures prises par les éditeurs de navigateurs Web : les anciennes versions du plugin d’Oracle sont bloquées par défaut et l’utilisateur doit maintenant approuver l’exécution des applets.

Si Internet Explorer figure en tête sur la liste des victimes, Google Chrome n’est pas épargné (52 vulnérabilités corrigées), au même titre que Mozilla Firefox (61 vulnérabilités).

Aucune faille 0-day déclarée au 1er semestre pour Java… (source exploit-db.com).

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les principaux navigateurs Web du marché ?

Crédit illustration : wallace wainhouse – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago