Les widgets, de nouveaux vecteurs d’attaques

Cloud

Dans un récent rapport, l’éditeur de sécurité Finjan lance une mise en garde
contre les risques liés à l’utilisation des widgets.

Selon le dernier rapport de l’éditeur Finjan sur les tendances de sécurité du Web, de nouvelles attaques utilisant les failles de sécurité des widgets et autres gadgets seraient imminentes.

Les widgets sont de petites « applets » qui sont généralement exécutées dans un navigateur Web ou sur le bureau pour fournir une fonction spécifique, telle que les bulletins météorologiques ou le cours de la bourse. Cette technologie est utilisée pour personnaliser un bureau ou une page Web afin de fournir à l’utilisateur les informations qu’il souhaite.

Le centre de recherche MCRC (Malicious Code Research Centre) de Finjan a examiné les nouvelles tendances dans les attaques employées par les pirates pour obtenir des informations ou prendre le contrôle du PC d’un utilisateur.

Sur la base des tendances actuelles, les chercheurs de l’éditeur prédisent que l’utilisation croissante de widgets expose les utilisateurs à toute une série d’attaques. En effet, tous les types d’environnements de widgets (systèmes d’exploitation, applications tierces et widgets Web) utilisent des modèles de sécurité insuffisants pouvant entraîner l’exécution de widgets malveillants.

Pour illustrer l’étendue du problème, rappelons que Google, Apple et Facebook proposent respectivement 3720, 3197 et 3959 widgets.

La recherche de Finjan laisse supposer que les attaques visant les failles de sécurité des widgets sont imminentes et que le recours à un nouveau modèle de sécurité entièrement repensé devrait être une voie à explorer pour assurer la protection des utilisateurs.

« Les Widgets sont de plus en plus utilisés. Du coup le problème de leur niveau de sécurité se pose de plus en plus souvent », commente Yuval Ben-Itzhak, directeur technologique de Finjan. « Les failles de sécurité repérées permettent aux attaquants de prendre le contrôle des machines. Ces attaques peuvent avoir de dramatiques conséquences pour l’industrie. Et les sociétés qui travaillent sur le Net doivent prendre en compte ce nouveau danger. « 

Finjan recommande aux utilisateurs de ne pas utiliser les widgets provenant de sources non-fiables et d’adopter globalement les mêmes pratiques de sécurité que pour les applications complètes.

Les utilisateurs sont également invités à redoubler de prudence lorsqu’ils utilisent des widgets interactifs basés sur des ressources externes (RSS par exemple). Ceux-ci peuvent faire l’objet d’attaques ciblées qui exploitent cette confiance en intégrant dans ces données un système malveillant.

Traduction d’un article de Vnunet.com en date du 17 septembre 2007