Sécurité IT : un exode pirate de Java vers Flash ?

RisquesSécuritéVirus
securite-java-flash

Microsoft constate que les protections mises en place dans Internet Explorer contre les contrôles ActiveX obsolètes ont poussé les pirates à rabattre leurs attaques de Java vers Flash.

Depuis l’été 2014 et la diffusion d’un correctif pour Internet Explorer bloquant l’exécution des versions obsolètes de Java, les pirates informatiques se sont massivement rabattus sur la technologie Adobe Flash pour lancer leurs attaques.

C’est l’un des principaux enseignements à tirer de la présentation – document PDF, 17 pages – effectuée par les équipes de Microsoft dans le cadre de la conférence RSA 2015, organisée la semaine passée à San Francisco.

A s’en fier aux données communiquées par la firme, l’évolution est flagrante : exploité dans 85 % à 98 % des attaques en 2013, Java n’était plus impliqué que dans 50 % des cas à la mi-2014… et le serait aujourd’hui dans moins d’un cas sur dix.

C’est précisément en réponse à ce patch qui empêche, par défaut sur Internet Explorer 11, l’exécution des contrôles ActiveX pouvant présenter un danger en termes de sécurité, que les hackers se tournent vers d’autres cibles.

Sur les huit failles intégrées courant 2014 dans des « kits d’exploit » (outils conçus pour tester la vulnérabilité d’une machine), cinq concernent le plugin Flash. Illustration avec la brèche HanJuan (CVE-2015-0311), qui aurait fait plus de 5 millions de victimes à travers des publicités malveillantes.

Toujours selon Microsoft, c’est sur Windows 7 que réside l’essentiel du problème : plus de 20 % des utilisateurs exploitent une version trop ancienne de Flash (contre 7,53 % sur Windows 8 et 1,85 % sur Windows 8.1).

Le premier éditeur mondial estime par ailleurs être parvenu, en cinq ans, à réduire de 70 % le nombre de vulnérabilités par injection de code dans ses produits, grâce à une diffusion plus fréquente de correctifs.

Une démarche qui coïncide avec une activité sans précédent dans le secteur : plus de 4500 failles révélées au 2e semestre 2014, le précédent record d’environ 3500 failles ayant été enregistré en 2008.

Signes particuliers des « nouvelles vulnérabilités » : d’un niveau de criticité généralement moyen, elles visent de plus en plus souvent les applications tierces plutôt que le système d’exploitation et ses services natifs. Les outils Microsoft sont aussi de moins en moins représentés, quand bien même ils restent – et de loin – les plus exposés.

Les failles, qui permettent de compromettre l’intégrité ou la disponibilité d’un logiciel ainsi que la confidentialité des données qu’il traite, peuvent aussi bien être rendues publiques par des éditeurs que par des chercheurs en sécurité informatique ou des entreprises qui en font leur business. Et ce n’est pas toujours celui qui découvre une brèche qui s’y engouffre.

A l’origine d’une grande partie des « exploits » constitués ces deux dernières années, on retrouve une corruption de mémoire permettant d’utiliser le ROP (« Return-Oriented Programming »).

Fonctionnant dans le cas où les OS disposent de protections particulières (bit NX, DEP, ASLR…), cette technique se base sur les dépassements de buffers (stack, heap overflow). Elle consiste à utiliser des portions de bibliothèques existant en mémoire afin de reconstruire du code utile à l’attaquant.

Crédit photo : IR Stone – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur