Des dangers de la navigation web
Date : 20 Juin 2005
Le 30/06/2004, le Cert-IST a émis l'alerte CERT-IST/AL-2004.005 afin d'avertir notre communauté du danger qu'il pouvait y avoir à naviguer sur le web avec un navigateur vulnérable. Nous complétons cette alerte aujourd'hui en illustrant les risques encourus et en montrant comment ce risque est monté en puissance au cours des six derniers mois.
Ces deux derniers mois, le Cert-IST a émis quatre notes "Danger Potentiel" (cf. le tableau récapitulatif donné en fin d'article), toutes relatives à des attaques visant les utilisateurs finaux lors de leur navigation sur le web.
La caractéristique la plus préoccupante de cette tendance est que ces attaques sont susceptibles de toucher les utilisateurs en entreprise. En effet, comme ces attaques utilisent le trafic Web les sites protégés par des gardes-barrières sont aussi vulnérables (le trafic web est généralement autorisé par la politique de l'entreprise).
- Description du danger
Le schéma type d'une attaque dans ce contexte est le suivant :
- Des sites web "anodins" (par exemple orientés grand public) sont compromis et un contenu malicieux "invisible" est ajouté par le pirate aux pages web existantes (cas décrit dans le "Danger Potentiel" CERT-IST/DG-2004.006).
- Les visiteurs de ces sites, s'ils utilisent des navigateurs Web "non surs" (i.e. vulnérables à des attaques récentes comme celles affectant "Internet Explorer" sur Windows – cf. CERT-IST/DG-2004.005 – ou "Safari" sur Macintosh – cf. CERT-IST/DG-2004.004) sont infectés au moment de leur visite.
- Les machines utilisateurs ainsi compromises peuvent ensuite être utilisées par les pirates pour des actions malveillantes futures (cas où une porte dérobée y est déposée) ou simplement pour espionner l'utilisateur du poste.
Ce dernier cas (espionnage de l'utilisateur) est certainement le plus préoccupant dans un contexte d'entreprise (car plus difficile à détecter et visant plus directement l'entreprise). A titre d'exemple pour ce type de menace, Symantec a publié récemment un article technique (cité à la section "Pour plus d'information" ci-dessous) expliquant comment un logiciel d'espionnage (capturant les couples "login"/"password" entrés par l'utilisateur) avait été trouvé sur un ordinateur portable compromis lors d'une visite d'un site web malicieux. Dans ce cas, l'ordinateur appartenait au collaborateur d'un organisme financier, et le logiciel d'espionnage l'ayant infecté a fonctionné plus de deux semaines avant d'être détecté…
- La montée en puissance du risque
Aucune des techniques décrites ici n'est réellement nouvelle :
- La compromission de sites web "anodins" est un fait démontré depuis au moins septembre 2003 (date à laquelle le cheval de Troie "Autoproxy" a été trouvé dans les pages d'accueil d'un ISP important aux USA).
- L'utilisation de failles de navigateurs Web (et en particulier celles d' "Internet Explorer") est également un fait démontré depuis longtemps (voir à ce sujet le "Danger Potentiel" CERT-IST/DG-2004.003).
Par contre la multiplication des attaques de ce type qui sont publiquement raportées, et le niveau de sophistication des techniques utilisées lors de ces attaques sont des faits réellement nouveaux et alarmants.
- Comment se protéger ?
Les préconisations suivantes du Cert-IST permettent de faire face à ce risque (elles sont détaillées dans l'alerte CERT-IST/AL-2004.005) :
- Maintenir à jour les navigateurs Web en appliquant les correctifs diffusés par les constructeurs.
- Maintenir à jour les anti-virus sur les postes utilisateurs.
- Appliquer un filtrage sur le trafic Web afin de stopper les tentatives d'attaques.
- Utiliser un navigateur Web "plus sûr".
- Rappel des derniers "Dangers Potentiels" émis par le Cert-IST
Les informations de type "Danger Potentiel" émises par le Cert-IST sont des "pré-alertes" émises pour prévenir d'un danger imminent. Elles complètent les "Alertes" (cas d'attaques massives) et les "Avis" (annonce des nouvelles vulnérabilités) émis par le Cert-IST.
- CERT-IST/DG-2004.006 (25/06/2004 et ré-émis le 28/06/2004 en version 2.0) : "Compromissions de serveurs web Microsoft IIS"
- CERT-IST/DG-2004.005 (09/06/2004) : "Vulnérabilité dans le navigateur web Internet Explorer 6 et son exploitation"
- CERT-IST/DG-2004.004 (19/05/2004) : "Vulnérabilité des navigateurs Web sur Mac OS X - Vulnerability in Mac OS X web browsers"
- CERT-IST/DG-2004.003 (14/05/2004) : "Ver "Wallon" et vulnérabilités de l'environnement de navigation Internet de Windows"
- Pour plus d'information ?
Analyse de Symantec d'un cas d'espionnage d'un utilisateur infecté : http://tms.symantec.com/ClientSideExploitation.asp