Depuis l’été 2014 et la diffusion d’un correctif pour Internet Explorer bloquant l’exécution des versions obsolètes de Java, les pirates informatiques se sont massivement rabattus sur la technologie Adobe Flash pour lancer leurs attaques.
C’est l’un des principaux enseignements à tirer de la présentation – document PDF, 17 pages – effectuée par les équipes de Microsoft dans le cadre de la conférence RSA 2015, organisée la semaine passée à San Francisco.
A s’en fier aux données communiquées par la firme, l’évolution est flagrante : exploité dans 85 % à 98 % des attaques en 2013, Java n’était plus impliqué que dans 50 % des cas à la mi-2014… et le serait aujourd’hui dans moins d’un cas sur dix.
C’est précisément en réponse à ce patch qui empêche, par défaut sur Internet Explorer 11, l’exécution des contrôles ActiveX pouvant présenter un danger en termes de sécurité, que les hackers se tournent vers d’autres cibles.
Sur les huit failles intégrées courant 2014 dans des « kits d’exploit » (outils conçus pour tester la vulnérabilité d’une machine), cinq concernent le plugin Flash. Illustration avec la brèche HanJuan (CVE-2015-0311), qui aurait fait plus de 5 millions de victimes à travers des publicités malveillantes.
Toujours selon Microsoft, c’est sur Windows 7 que réside l’essentiel du problème : plus de 20 % des utilisateurs exploitent une version trop ancienne de Flash (contre 7,53 % sur Windows 8 et 1,85 % sur Windows 8.1).
Le premier éditeur mondial estime par ailleurs être parvenu, en cinq ans, à réduire de 70 % le nombre de vulnérabilités par injection de code dans ses produits, grâce à une diffusion plus fréquente de correctifs.
Une démarche qui coïncide avec une activité sans précédent dans le secteur : plus de 4500 failles révélées au 2e semestre 2014, le précédent record d’environ 3500 failles ayant été enregistré en 2008.
Signes particuliers des « nouvelles vulnérabilités » : d’un niveau de criticité généralement moyen, elles visent de plus en plus souvent les applications tierces plutôt que le système d’exploitation et ses services natifs. Les outils Microsoft sont aussi de moins en moins représentés, quand bien même ils restent – et de loin – les plus exposés.
Les failles, qui permettent de compromettre l’intégrité ou la disponibilité d’un logiciel ainsi que la confidentialité des données qu’il traite, peuvent aussi bien être rendues publiques par des éditeurs que par des chercheurs en sécurité informatique ou des entreprises qui en font leur business. Et ce n’est pas toujours celui qui découvre une brèche qui s’y engouffre.
A l’origine d’une grande partie des « exploits » constitués ces deux dernières années, on retrouve une corruption de mémoire permettant d’utiliser le ROP (« Return-Oriented Programming »).
Fonctionnant dans le cas où les OS disposent de protections particulières (bit NX, DEP, ASLR…), cette technique se base sur les dépassements de buffers (stack, heap overflow). Elle consiste à utiliser des portions de bibliothèques existant en mémoire afin de reconstruire du code utile à l’attaquant.
Crédit photo : IR Stone – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…