Le développement du Web 2.0 poussent les navigateurs à devenir plus interactifs. Finalement, ils se transformer en véritables portails plutôt que de simples plates-formes de visualisation.
Le revers de la médaille est que les navigateurs ouvrent également la voie à de nouvelles vulnérabilités à l’insu des utilisateurs, prévient Itzik Kotler, responsable du Security Operation Center pour l’entreprise de sécurité informatique Radware.
L’une des principales failles de sécurité, repérée par Radware, se trouve dans le langage JavaScript, qui pourrait permettre à un hacker de copier tout fichier du PC d’un utilisateur avec, au final, peu de chances d’être détecté (ce que beaucoup considéraient jusqu’alors comme impossible).
Itzik Kotler réussi a montré comment le processus était exécuté de l’intérieur du navigateur, non pas par l’altération du binaire (qui pourrait être détectée par la plupart des systèmes anti-virus), mais par l’ajout de code HTML à un fichier spécifique.
Cette nouvelle classe d’attaques sera très attractive pour les cyber-criminels, dont les techniques actuelles sont de plus en plus susceptibles d’être détectées. L’approche inter-plates-formes et inter-navigateurs leur permet d’accéder à des systèmes auparavant indisponibles comme Linux, Mac et les systèmes mobiles.
Les pages Web interactives sont en cause
Le principal problème provient du fait que les navigateurs Internet ont rapidement évolué : de visualiseurs passifs de textes et d’images, ils se sont changés en systèmes d’exploitation indépendants via des services interactifs comme le contenu généré par l’utilisateur, les applications hébergées, les boites e-mails et l’apparition des réseaux sociaux.
Bien que ces types d’attaque ne soient pas encore généralisées, les entreprises expertes en sécurité et les développeurs de navigateurs doivent s’assurer que la demande croissante pour des navigateurs de plus en plus flexibles n’ouvre pas la porte à de nouveaux types de hackers.
Adaptation d’un article Vnunet.com en date du 29 octobre 2008 et intitulé Javascript to be next core malware language
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…