Sécurité IT : les éditeurs musclent leur jeu face aux cyber-criminels

Cloud

La dernière édition du baromètre semestriel « Endpoint Exploitation Trends » de Bromium illustre les efforts consentis par les éditeurs pour blinder la sécurité de leurs logiciels.

A l’heure où les attaques informatiques se recentrent sur les navigateurs Web et leurs plugins, Internet Explorer et Flash constituent les cibles privilégiées des pirates. C’est l’une des principales conclusions établies par les experts en sécurité IT de Bromium dans la dernière vague de leur baromètre « Endpoint Exploitation Trends » (document PDF, 12 pages).

Au 1er semestre 2014, pas moins de 133 vulnérabilités ont été signalées dans le butineur de Microsoft. Des traces d’exploitation ont été découvertes pour trois d’entre elles. A leur origine, on trouve quasi systématiquement une corruption de mémoire permettant d’utiliser le ROP (« Return Oriented Programming »). Fonctionnant dans le cas où les systèmes d’exploitation disposent de protections particulières (bit NX, DEP, ASLR…), cette technique se base sur les dépassements de buffers (stack, heap overflow). Elle consiste à utiliser des portions de librairies existant en mémoire afin de reconstruire du code utile à l’attaquant.

Si Internet Explorer bat un record en matière de correctifs déployés, c’est aussi parce que Microsoft s’implique davantage dans sa sécurisation : alors que le premier patch pour IE9 était sorti après plus de trois mois, le délai avait été réduit à moins de deux semaines pour IE10… et à 5 jours pour IE11.

Avec la médiatisation des cyber-attaques et l’agilité dont les pirates font preuve pour s’attaquer au maillon le plus faible de la chaîne, les éditeurs ont pris à bras-le-corps la question de la sécurité. Mais des failles subsistent toujours. Et quand bien même les navigateurs font l’objet de tous les soins, la fragilité des plugins expose à de nombreux risques. Illustration avec les fonctionnalités ajoutées fin 2013 dans Adobe Flash, qui ont rapidement été exploitées, notamment dans la machine virtuelle ActionScript.

securite-s1-2014
Particulièrement vulnérables, les navigateurs Web restent des vecteurs d’attaque privilégiés (source National Vulnerability Database).

La visionneuse PDF Adobe Reader a pour sa part subi une attaque-éclair pendant quelques semaines entre décembre 2013 et janvier 2014, via deux vulnérabilités (CVE-2013-3346 et CVE-2013-5056) qui permettaient de contourner la sandbox. Quant à Java, vecteur d’attaque privilégié au cours des deux dernières années… il n’a officiellement subi, au 1er semestre 2014, aucune attaque exploitant des failles 0-day (méconnues du public). C’est sans doute la conséquence des mesures prises par les éditeurs de navigateurs Web : les anciennes versions du plugin d’Oracle sont bloquées par défaut et l’utilisateur doit maintenant approuver l’exécution des applets.

Si Internet Explorer figure en tête sur la liste des victimes, Google Chrome n’est pas épargné (52 vulnérabilités corrigées), au même titre que Mozilla Firefox (61 vulnérabilités).

exploits-s1-2014
Aucune faille 0-day déclarée au 1er semestre pour Java… (source exploit-db.com).

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les principaux navigateurs Web du marché ?

Crédit illustration : wallace wainhouse – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur