BlackHat 2012 : JavaScript, vedette des exploits à la conférence de sécurité
Routeurs compromis et cache navigateur remplacé

Le , par tarikbenmerar, Chroniqueur Actualités
Peut-on pirater votre réseau avec une simple application JavaScript ? La réponse serait oui à croire les résultats de recherche présentés à la conférence Black Hat 2012 par Phil Purviance et Joshua Brashars, consultants senior à AppSec Consulting. C'est une démonstration surprenante par son degré d'automatisation, et qui illustre le danger que peut représenter de nos jours une simple application JavaScript.

Techniquement parlant, cette attaque utilise du social engineering pour tromper l'utilisateur et le faire accéder à un site malicieux. Sur ce site, un code JavaScript malveillant se lance et ordonne au navigateur de scanner le réseau local, puis de lister tous les dispositifs connectés.

Dès lors, une opération de brute-force est lancée pour forcer l’accès à ces derniers. En dernière étape, une attaque du type CSRF (Cross-Site Request Forgery) est utilisée pour télécharger et installer un Firmware malicieux sur le routeur, et en obtenir le plein contrôle. Tout simplement époustouflant !

« Nous avons remplacé un système d'exploitation dans un dispositif réseau, et pris le contrôle total là-dessus », a déclaré Purviance. Précisons aussi que l'attaque cible un routeur SOHO (small office/home office) de Linksys, conçu par Cisco et largement utilisé dans les entreprises.

« Vous avez tout simplement transformé ces dispositifs SOHO en un schéma d'attaque Linux dévastateur », s'exclame Brashars. Le pire, est que l'utilisateur ne pourra jamais détecter l'attaque tant que le routeur piraté continuera de faire correctement son travail. Pour contrer cette attaque, les auteurs préconisent une plus grande restriction dans l'utilisation des ressources inter-sites, une meilleure protection anti-CSRF dans les dispositifs, ainsi que l'utilisation de mots de passe durs à prédire.

Malheureusement, on n'est pas au bout de nos frayeurs, car une deuxième attaque se basant sur JavaScript a été présentée dans cette même conférence. Une autre équipe d'experts d'Informatica64 est arrivée à utiliser un proxy pour remplacer le code JavaScript stocké dans le cache du navigateur, afin d'injecter un code malveillant que la victime aurait téléchargé en utilisant ce même proxy anonyme.

Afin de tromper un grand nombre d'utilisateurs, l'adresse du proxy PoC a été postée dans un forum public. Résultat, 4000 ordinateurs infectés en une seule journée par des fichiers JavaScript incrustés dans leurs caches. La simplicité de l'attaque a même poussé les auteurs à conclure que les gouvernements et les entreprises pourraient utiliser cette attaque pour espionner les utilisateurs, si ce n'est déjà le cas ! Les auteurs préconisent l’utilisation de serveurs-proxy de confiance, et d'effacer le cache navigateur régulièrement.

Concluons ainsi sur deux petites questions : la première, que peut-on faire en combinant ces deux attaques ? La deuxième : le web est-il si sûr aujourd'hui ?

Sources : SCM, Dark Reading


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de transgohan transgohan - Expert confirmé https://www.developpez.com
le 31/07/2012 à 13:36
Un navigateur internet qui permet à ses applications d'accéder à la carte réseau... Il n'y a que cela que ça choque ?
Avatar de MiaowZedong MiaowZedong - Membre émérite https://www.developpez.com
le 31/07/2012 à 13:41
À force placer des applications dans le web, les navigateurs modernes, leurs moteurs JavaScripts et certains plugins (Flash, Java notament) sont devenus de véritables déroutes pour la sécurité. Aujourd'hui un navigateur déroge au principe le plus fondamental de la sécurité informatique: une application ne doit disposer que des privilèges qui lui sont nécessaires.

Quand j'ouvre un site web, mon navigateur peut effectuer des dizaines d'opérations non-nécessaires pour une navigation sur Internet—si le site contient un code malicieux, il peut potentiellement faire presque autant de choses que s'il avait accès directement à l'OS.
Avatar de camus3 camus3 - Membre éprouvé https://www.developpez.com
le 31/07/2012 à 14:37
While the pair of researchers declined to give details of the technique, their attack will allow fully automated infection of devices on the network, they claim. Because the attack makes use of HTML 5 and other new browser technologies, more modern browsers are more susceptible to the attack, Purviance says.

Je n'ai pas réussi à trouver une description exacte de l'attaque, ni quels navigateurs étaient affectés , mais apparemment ils ont utilisés des technos HTML5 pour exécuter leurs attaques, accéder au router ( via l'url du routeur, ce qui est relativement simple ) , par contre comment font ils pour installer un malware sur le routeur lui même ?
Avatar de wokerm wokerm - Inactif https://www.developpez.com
le 31/07/2012 à 19:25
ce que je peut dire c'est que les sociétés qui produisent ces navigateur sont complice ,et qui nous dit que ces informations ne sont pas au mains du patriot act, javascript même avec ça reste un excellent language et aucune solution n'est sure a 100% donc ce n'est pas une raison d'avoir peur de ça comme l'a fait microsoft avec son sdk pour windows 8
Avatar de MarieKisSlaJoue MarieKisSlaJoue - Membre émérite https://www.developpez.com
le 02/08/2012 à 4:32
: le web est-il si sûr aujourd'hui ?

Le web à t'il déjà été sur à un moment ? je continue de penser que internet doit être l'endroit le plus dangereux de la terre pour des utilisateurs qui bien souvent n'ont aucune idée de ce qu'ils font. On ne peux même pas dire qu'ils fassent preuve d'instinct naturel de protection ou de bon sens.

On pourrait comparer ça à donner une voiture à quelqu'un qui n'a pas le permis. Certain vont assurément faire des dégâts. Pour moi la sécurité du web viens par l'information, il faudrait de vraies sensibilisations et des vrais cours dans les écoles (de mon souvenir le cours de techno qui est le plus informatisé on a du juste nous expliquer comment créer une adresse mail.)

J'espère qu'un jours des vraies décisions seront prises pour rendre les surfeurs plus avertis et conscients.

Bon après pour finir sur une note plus positive, heureusement des gens compétents tentent de rendre le net plus sûr et plus simple mais ils ne peuvent y arriver seul.

après je prends peut être les choses d'une façon un peu trop paranoïaque. Mais par exemple le jour où je payerai en ligne avec une carte de crédit il est pas encore arrivé.
Avatar de SpaceFrog SpaceFrog - Rédacteur/Modérateur https://www.developpez.com
le 02/08/2012 à 9:32
Pour ce qui est de l'accès de javascript à des données locales, je serais curieux de savoir de quel OS et de quel navigateur ils parlent. Manifestement les failles se situent au niveau des activeX, de flash ou de java qui sont de vraies passerelles entre le bac à sable de javascript et le système local.

Pour le paiement en ligne, tant que se sont les banques qui endossent la responsabilité au niveau de la sécurité. Ce serait dommage de se priver de certaines opportunités de faire de vraies affaires.
Avatar de akinfermo akinfermo - Nouveau Candidat au Club https://www.developpez.com
le 03/08/2012 à 6:14
Je pense pour ma part que l'utilisateur est lui meme responsable sa securité sur Internet. Quand vous cliquez sur les offres trop belles pour etre vraies ou quand vous suivez toujours strictement ce que le site vous dit, vous vous exposez d'une maniere ou d'une autre a un probleme de securite. Pour nous developpeurs, on sait comment s'y prendre, mais pour l'utilisateur basique il faut sensibiliser et surtout il faut que les logiciels et navigateurs aient juste les permissions dont ils ont vraiment besoin.
Avatar de eskatos eskatos - Nouveau membre du Club https://www.developpez.com
le 03/08/2012 à 13:02
M'enfin, une CSRF pour atteindre les ressources HTTP d'un routeur sur le réseau local ne nécessitent aucun accés privilégié sur le poste vecteur (celui ou le navigateur tourne).

Le problème ici est plutôt dans le "browser model" qui permet l'utilisation d'un navigateur comme vecteur puis dans les ressources HTTP sur le routeur qui sont mal sécurisées.
Avatar de TVA2M1 TVA2M1 - Nouveau Candidat au Club https://www.developpez.com
le 11/08/2012 à 8:19
Bonjour les gens
.BlackHat 2012 : JavaScript, vedette c est beau d"être une vedette mais aucune source aucune démo rien nada
Bizarre moi j ai toujours cru que le savoir devrait être partagé mais?
Avatar de Pelote2012 Pelote2012 - Membre chevronné https://www.developpez.com
le 13/08/2012 à 9:23
Le premier cours de sécu (il y a 8 ans) le prof à commencer son cours par : il n'y a pas de sécurité absolue, on aura toujours plusieurs tours de retard sur les pirates ...

Faut croire que cela se vérifie toujours...

On paie le prix fort, des trous de sécurité ouvert pour que M. ToutLeMonde navigue sur Internet sans se poser trop de question... Problème maintenant comment faire marche arrière? On leur à donner trop de mauvaises habitudes ...
Offres d'emploi IT
Spécialiste systèmes informatiques qualité et référent procédure H/F
Safran - Ile de France - Colombes (92700)
Chef projet big data - pse flotte H/F
Safran - Ile de France - Évry (91090)
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil