Un Botnet pour 100 euros

• Imprimer

Un groupe de chercheurs de l'Université de Stanford est actuellement en discussion avec les principaux éditeurs du monde internet, notamment Microsoft, Mozilla, Sun Microsystems et Adobe, nous apprend Robert Lemos, du Security Focus. Et pour que ces « frères ennemis » soient réunis autour d'une même table, c'est que l'alerte est d'importance. Il est possible, expliquent les chercheurs, de monter une attaque en « DNS rebinding », qui permettrait à son tour d'émettre et de recevoir des données sur le réseau interne de l'attaqué. Le firewall est alors traversé sans la moindre alarme, et les ressources locales « résolues » par l'attaquant comme s'il s'agissait de ressources internet conventionnelles. En d'autres termes, le navigateur Web utilisé par la victime sert de concentrateur VPN, avec, d'un coté, le site Web publique infecté par le biais d'une publicité Java LiveConnect ou Flash, et de l'autre les répertoires et fichiers internes accessibles par l'ordinateur « client ». Ce n'est, en aucun cas, une variante des attaques Javascript, mais l'exploitation d'un défaut généralement constaté dans le support de ces interprètes au coeur même des navigateurs. Une erreur qui fait en sorte que se confondent le domaine local et le domaine distant dans le contexte duquel doit s'exécuter la fonction, la requête ou la lecture ordonnée par l'Applet concernée. Le danger, expliquent ceux qui ont découvert le problème, c'est qu'il est possible, « pour moins de 100 dollars d'investissement, de « passer une publicité » d'apparence anodine, laquelle servirait à détourner temporairement plus de 100 000 adresses IP ». Selon que le plug-in est présent ou non sur la machine-victime, l'assaut se déroule en moins de 47 ms et, dans le pire des cas, en 4 secondes. Un mémoire détaillé devrait être publié dès le mois d'octobre prochain, mais d'ores et déjà un brouillon fort complet explique les tenants et les aboutissants du défaut, et un site Web offre aux usagers la possibilité de tester la vulnérabilité de leurs installations. Nul remède n'est actuellement capable de soigner ce mal, qu'il s'agisse d'Internet Explorer, toutes versions confondues ou de Firefox, sans oublier Opera ou Safari. Le bannissement des accès aux adresses locales n'est pas, estime certains experts, une chose très facile à réaliser. Fort heureusement, l'exploitation de la faille en question demandera beaucoup de temps aux pirates, gardiens de botnets et autres industriels du vol d'informations, temps de développement qui devrait se compter en années. De telles assurances, pourtant, ne sont guères rassurantes. Les experts en sécurité, s'ils sont d'une rare efficacité quant aux problèmes purement informatiques, ne sont généralement pas franchement des parangons d'exactitude dans le domaine un peu plus flou de la divination.