Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Un navigateur peut en cacher un autre

Un navigateur peut en cacher un autre
2010-02-092013-02-11actualités et événementsfr
L'affaire commence doucement, une attaque logique d'une société pour récupérer des données. Cela arrive tous les jours, malheureusement. Mais voilà, comme la société s'appelle Google, se trouve en Chine, et que le vecteur d'attaque se nomme Internet Explorer, l'affaire se retrouve à...
Publié le 9 Février 2010 par Philippe Maltere dans actualités et événements

L'affaire commence doucement, une attaque logique d'une société pour récupérer des données. Cela arrive tous les jours, malheureusement. Mais voilà, comme la société s'appelle Google, se trouve en Chine, et que le vecteur d'attaque se nomme Internet Explorer, l'affaire se retrouve à faire la une. Hormis l'aspect quasi comique de la situation, imaginez Microsoft attaqué suite à une vulnérabilité Firefox (ou Chrome!), nous aurions pu en rester là...


Mais non, deux organismes (sérieux, au moins jusqu'à là), l'un allemand, l'autre français ont publié un communiqué disant qu'il ne fallait pas utiliser Microsoft Internet Explorer, tant que la firme de Seattle n'aurait pas comblé cette brèche (celle ci fut résolue moins d'une semaine après cet avis) , en attendant il est recommandé d'utiliser un navigateur alternatif. Cela part d'un bon sentiment, mais comme on dit l'enfer est pavé de bonnes intentions.

Ces deux organismes insinuent donc, qu'il ne faut pas utiliser Internet Explorer mais d'autres navigateurs alternatifs plus sécurisés car n'ayant pas de vulnérabilités connues (aujourd'hui). Ceci est à mon avis très grave, car, il risque d'introduire un sentiment de (fausse)sécurité à utiliser d'autres navigateurs pour l'utilisateur. Or, c'est affreusement faux. Internet Explorer a bien sûr certaines failles, qui d'ailleurs pour certaines restent non traitées à ce jour, mais les autres navigateurs aussi, même si elles ne sont pas connues aujourd'hui, elles le seront demain. Microsoft Internet Explorer reste le navigateur le plus attaqué, ceci est aussi la rançon de la gloire. Lorsqu'un des navigateurs alternatifs représentera plus de 50% du marché, on en reparlera. Et je gage que ces organismes repartiront en guerre contre ce navigateur...

Et d'ailleurs, il n'est pas besoin de vulnérabilités pour attaquer via un navigateur, il y a les scripts... C'est bizarre, car en préparant cet article (pour ceux qui en doutent, si si je prépare), j'ai subi une attaque d'un javascript en surfant sur un site, et je devance votre question pas un site de l'underground profond. Je tairai le nom de ce site par charité chrétienne bien entendu, puisque je viens d'y retourner le script malfaisant n'y est plus. Ceci tend à démontrer que le principal vecteur d'attaque pour les prochaine années sera le navigateur, qui mettra aux quasi oubliettes la messagerie. Le navigateur est très sexy pour un attaquant, puisque les scripts peuvent être agnostiques du système d'exploitation, il traite des formats se prêtant aux attaque type flash, et pdf, et car à l'heure actuelle, à moins de supprimer l'exécution de tout script(ce qui rend presque impossible de surfer, je sais j'ai essayé), il n'y a pas d'antidote....

Alors que faire, ne plus utiliser Internet, c'est une solution... J'espère vous avoir fait peur (je ne vois pas pourquoi, ce ne pourrait êtres le fait que des deux organismes presque sus cités) , car il y a un espoir... La virtualisation. Il faut au moins virtualiser le navigateur dans votre système d'exploitation, et des solutions existent qu'elles soient payantes (pas de chèque, pas de citation, na), ou gratuites comme sandboxie (qui existe même en béta pour les systèmes Windows 64 bits), ou Vmware (eh oui, vmplayer plus un mini système ubuntu/firefox), et même Microsoft qui propose pour certaines éditions de Windows 7 professionnelles (vu comme un kit pour faciliter la migration)un kit Virtual PC et Windows XP/Internet Explore (une offre qui ne dura peut être pas).

3 Commentaires

  • 16 Février 2010
    2010-02-16
    par
    Nerach
    Et contre les scripts, il y a.... des outils !
    Des outils tel que :
    NoScript https://addons.mozilla.org/fr/firefox/addon/722
    NoScript bloquera tous script sauf sur les pages ou vous l'aurez explicitement autoriser.

    Et pour une navigation plus sereine, on pourra également bloquer la publicité envahissante qui parfois contient des virus (dans des publicités en flash par exemple).
    Adblock Plus https://addons.mozilla.org/fr/firefox/addon/1865

    Du coup Firefox deviens tous de suite plus intéressant.
    On passera sur le fait que Microsoft laisse des bugs non corriger pendant plusieurs années.

    Avec un peu de jugeote et quelques outils bien conçu, il n'est besoin d'être expert en sécurité informatique pour de prémunir d'un bon nombre d'attaque.

    Ciao !
  • 15 Février 2010
    2010-02-16
    par
    Laurent Muller
    L'argument selon lequel Internet Explorer est plus attaqué parce que plus représenté est faux.

    La part de marché de Firefox avoisine à présent les 25%. Ce qui n'est pas négligeable. Une attaque liée à FF toucherait un ordinateur sur 4. Or, par son modèle de développement les failles sont corrigées beaucoup plus rapidement et surtout de façon proactive par la communauté.

    Bref, prévenir que Internet Explorer 6 est un véritable danger public (voir le nombre d'attaques qui s'appuient sur lui) est salutaire.
  • 13 Février 2010
    2010-02-16
    par
    Guillaume
    Vous êtes à côté de la plaque ! Le problème est que Microsoft met plusieurs mois à corriger les failles de son navigateur. Ce n'est pas le cas de Firefox.
    Enfin l'argument que vous utilisez "IE est buggé certes, mais Firefox aussi avec des failles encore inconnus" est bien faible.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage