JavaScript : futur langage de prédilection des malwares ?
Le Web 2.0 augmenterait les failles sécuritaires de nos navigateurs, selon Radware.
Le développement du Web 2.0 poussent les navigateurs à devenir plus interactifs. Finalement, ils se transformer en véritables portails plutôt que de simples plates-formes de visualisation.
Le revers de la médaille est que les navigateurs ouvrent également la voie à de nouvelles vulnérabilités à l’insu des utilisateurs, prévient Itzik Kotler, responsable du Security Operation Center pour l’entreprise de sécurité informatique Radware.
L’une des principales failles de sécurité, repérée par Radware, se trouve dans le langage JavaScript, qui pourrait permettre à un hacker de copier tout fichier du PC d’un utilisateur avec, au final, peu de chances d’être détecté (ce que beaucoup considéraient jusqu’alors comme impossible).
Itzik Kotler réussi a montré comment le processus était exécuté de l’intérieur du navigateur, non pas par l’altération du binaire (qui pourrait être détectée par la plupart des systèmes anti-virus), mais par l’ajout de code HTML à un fichier spécifique.
Cette nouvelle classe d’attaques sera très attractive pour les cyber-criminels, dont les techniques actuelles sont de plus en plus susceptibles d’être détectées. L’approche inter-plates-formes et inter-navigateurs leur permet d’accéder à des systèmes auparavant indisponibles comme Linux, Mac et les systèmes mobiles.
Les pages Web interactives sont en cause
Le principal problème provient du fait que les navigateurs Internet ont rapidement évolué : de visualiseurs passifs de textes et d’images, ils se sont changés en systèmes d’exploitation indépendants via des services interactifs comme le contenu généré par l’utilisateur, les applications hébergées, les boites e-mails et l’apparition des réseaux sociaux.
Bien que ces types d’attaque ne soient pas encore généralisées, les entreprises expertes en sécurité et les développeurs de navigateurs doivent s’assurer que la demande croissante pour des navigateurs de plus en plus flexibles n’ouvre pas la porte à de nouveaux types de hackers.
Adaptation d’un article Vnunet.com en date du 29 octobre 2008 et intitulé Javascript to be next core malware language