les vulnerabilites des naviguateurs

Le
Az Sam
[X-post + FU2 fr.comp.securite)

sur le blog MSN, un article interressant avec pleins de pistes pour tenter
de debrousailler la question du choix du naviguateur.

http://blogs.msdn.com/iefrance/archive/2010/03/01/navigateurs-web-en-entreprise-faire-le-bon-choix-et-comparer-ce-qui-est-comparable.aspx

L'auteur nous dit :
"La seul chose sur laquelle tout le monde devrait être d'accord, c'est
qu'il faut absolument utiliser un navigateur récent car ce sont les
dernières générations qui disposent des mécanismes de sécurité les plus
efficaces pour contrer les menaces venant du Web."

Et c'est un argument que chacun peut lire regulierment.

Moi, je me dis que le derniere faille du dernier naviguateur en date quand
elle n'ets pas decouverte par une personne bien intentionnée, va etre
exploitée immediatement et a la plus grande echelle possible. Le but etant
dans ce cas de prendre de vittesse l'equipe de develloppement qui pourrait
corriger.

Du coup, si on suit ce conseil et que l'on change toujours pour le dernier
naviguateur en date, on pourrait bien se retrouver etre une cible
privilegiée pour les attaques concernant cette faille dont l'editeur n'aura
connaissance qu'apres les remontees sur les 1er degât + le temps de reaction
a etudier le meccanisme, ecire le correctif et le diffuser.

Une faille 0-Day est elle souvent/rarement presente egalement dans les
versions precedentes ?
L'article ne le dit pas.

--
Cordialement,
Az Sam.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bruno Tréguier
Le #21355291
Bonjour,

Az Sam wrote:
Du coup, si on suit ce conseil et que l'on change toujours pour le
dernier naviguateur en date, on pourrait bien se retrouver etre une
cible privilegiée pour les attaques concernant cette faille dont
l'editeur n'aura connaissance qu'apres les remontees sur les 1er degât +
le temps de reaction a etudier le meccanisme, ecire le correctif et le
diffuser.

Une faille 0-Day est elle souvent/rarement presente egalement dans les
versions precedentes ?



Disons que tout dépend de la raison de la sortie de la nouvelle version
(ajout de nouvelles fonctionnalités, correction de faille, etc.)...

Une faille ne se comble pas toute seule, même si elle perd son statut de
"0-day", ce qui veut dire que si vous restez sur une ancienne version
de navigateur, sur lequel une faille est connue, vous êtes aussi
vulnérable que sur la nouvelle version avec un nouveau "0-day", voire
plus car le nombre de sites tentant de l'exploiter a toutes les chances
d'augmenter au fil du temps...

En gros, dans un cas vous courez le risque qu'il y ait une faille, dans
l'autre vous en êtes certain. ;-)

Cordialement,

Bruno
Jean-Marc Desperrier
Le #21355791
Az Sam wrote:
je me dis que le derniere faille du dernier naviguateur en date quand
elle n'ets pas decouverte par une personne bien intentionnée, va etre
exploitée immediatement et a la plus grande echelle possible. Le but
etant dans ce cas de prendre de vittesse l'equipe de develloppement qui
pourrait corriger.

[...]
Une faille 0-Day est elle souvent/rarement presente egalement dans les
versions precedentes ?



Presque forcément ! Les éditeurs maintiennent des versions stables dans
lesquelles ils ne corrigent, pour ainsi dire, que les failles.
Pour qu'une faille 0-Day ne touche que la toute dernière version, il
faut en fait que ce soit une de ces modifications qui ait permis cette
faille, ce qui est heureusement assez rare.

Lorsque qu'une nouvelle version majeure qui sort, on peut imaginer être
plus méfiant et se dire qu'on manque de recul sur le code des nouvelles
fonctionnalités qui ont été ajoutées, qui pourrait donc être plus
fragile que celui de l'ancienne version, maintenant éprouvé.

Cependant dans la majorité des cas cela représente une part assez faible
du code du navigateur. De plus, étant le code le plus récemment ajouté,
c'est aussi normalement celui qui a bénéficié des pratiques les plus
récentes, et les plus exigeantes en terme de sécurité. Le code le plus
fragile est souvent le plus anciens, qui date pour la majorité des
navigateurs d'une époque où la sécurité n'était pas aussi centrale.

Par ailleurs, il y a deux éléments fallacieux dans ton raisonnement.

Le premier est que quelqu'un connaissant une 0-Day va s'en servir à
grande échelle. Mais c'est faux. Car quand on utilise une faille sur une
grande échelle, il y a des risques élevés que son utilisation soit
détectées rapidement et que l'éditeur commence à écrire le correctif.
Dès que le correctif sort, ce n'est plus une 0-Day, et elle pert
beaucoup de valeur. Or les 0-Day aujourd'hui sont quand même devenus
assez difficile à découvrir, et donc coûteuses. Du coup, ceux qui
trouvent une 0-Day ont tendance à s'en servir de façon ciblées (cf
attaque contre Google en début d'année), et à petite échelle pour rester
sous le radar le plus longtemps, la valeur de la 0-Day s'écroulant le
jour où elle est révélée publiquement.

Le deuxième est que peut-être sans t'en rendre compte, tu suppose qu'il
y a par contre un coût à utiliser plusieurs attaques différentes à la
fois, puisque ton attaquant utilise la zero-Day et pas simultanément
d'autres attaques.
Là aussi c'est faux, c'est précisément le contraire que font ce genre de
sites, ils déploient sur une page 5 ou 6 vecteurs d'attaques pour
couvrir tous les spectres de versions, et donc *aussi* les anciennes
versions.

De plus, alors qu'il n'y a qu'un nombre assez limités de sites
d'attaques suffisamment sophistiqués pour avoir mis la main sur une
0-Day, ou avoir cherché comment exploiter les failles connues récentes,
il y a chez les méchants un paquet de "script-kiddies" qui recopient des
recettes toutes faites sans les comprendre, et les failles se retrouvent
de plus en plus dans ces paquets tout préparés accessible à un très
grand nombre de personnes au fur et à mesure qu'elles vieillissent.

Donc il y a réellement un très fort avantage à utiliser la toute
dernière version de navigateur, avec juste la nuance que, quand c'est
une toute nouvelle version majeure avec plein de nouvelles fonctions, il
peut être légitime d'attendre une paire de mois pour vérifier si elle ne
se récupère pas un paquet de nouvelles failles au début.
Stephane Catteau
Le #21356021
Jean-Marc Desperrier devait dire quelque chose comme ceci :

Donc il y a réellement un très fort avantage à utiliser la toute
dernière version de navigateur, avec juste la nuance que, quand c'est
une toute nouvelle version majeure avec plein de nouvelles fonctions, il
peut être légitime d'attendre une paire de mois pour vérifier si elle ne
se récupère pas un paquet de nouvelles failles au début.



Je rajouterais qu'il ne faut pas tenir compte que des failles du
navigateur en lui-même, mais aussi des vecteurs d'infections.
Pour prendre un exemple qui, me semble-t-il, n'existe pas encore, un
navigateur qui créerait sa propre sandbox pour l'execution des scripts,
objects flash et compagnie, serait un plus indéniable en matière de
sécurité. Pourtant cela ne concerne pas directement le navigateur.
Az Sam
Le #21356151
"Bruno Tréguier" le message de news: hn8cat$etm$


En gros, dans un cas vous courez le risque qu'il y ait une faille, dans
l'autre vous en êtes certain. ;-)



comme celle ci ?
http://www.silicon.fr/fr/news/2010/03/10/internet_explorer_victime_d_une_nouvelle_vulnerabilite_critique____sans_correctif
:-/


--
Cordialement,
Az Sam.
Az Sam
Le #21356391
"Jean-Marc Desperrier" hn8g5t$3cj$


Le premier est que quelqu'un connaissant une 0-Day va s'en servir à grande
échelle. Mais c'est faux. Car quand on utilise une faille sur une grande
échelle, il y a des risques élevés que son utilisation soit détectées
rapidement et que l'éditeur commence à écrire le correctif. Dès que le
correctif sort, ce n'est plus une 0-Day, et elle pert beaucoup de valeur.



Donc un delai certain pour l'utilisateur qui pourtant a suivi les
recommandations et mis la derniere top version a securité centrale (<;-) ),
serieusement eprouvée (cette fois) qu'on lui a conseillé.


Or les 0-Day aujourd'hui sont quand même devenus assez difficile à
découvrir, et donc coûteuses. Du coup, ceux qui trouvent une 0-Day ont
tendance à s'en servir de façon ciblées (cf attaque contre Google en début
d'année), et à petite échelle pour rester sous le radar le plus longtemps,
la valeur de la 0-Day s'écroulant le jour où elle est révélée
publiquement.



oui effectivement, cette logique est sans doute plus juste que la mienne.
Quitte a cambrioler, autant faire un gros coup que pleins de petits.



Le deuxième est que peut-être sans t'en rendre compte, tu suppose qu'il y
a par contre un coût à utiliser plusieurs attaques différentes à la fois,
puisque ton attaquant utilise la zero-Day et pas simultanément d'autres
attaques.
Là aussi c'est faux, c'est précisément le contraire que font ce genre de
sites, ils déploient sur une page 5 ou 6 vecteurs d'attaques pour couvrir
tous les spectres de versions, et donc *aussi* les anciennes versions.



oui c'ets plutot comme cela que je l'entendais: pleins d'exploits pour
multiplier les chances d'en attraper un. Mais dedans, le dernier en date qui
ne toucherait que la derniere version du naviguateur (par exemple suite a un
autre correctif qui l'aurait ouverte) et ce sont ces utilisateurs là qui se
font prendre. Le utilsiateurs qui pourtant font "tout ce qu'il faut".



Donc il y a réellement un très fort avantage à utiliser la toute dernière
version de navigateur, avec juste la nuance que, quand c'est une toute
nouvelle version majeure avec plein de nouvelles fonctions, il peut être
légitime d'attendre une paire de mois pour vérifier si elle ne se récupère
pas un paquet de nouvelles failles au début.



Argumentaire convaincant pour mon niveau.
Donc il est un peu exagéré de dire qu'il faut toujours avoir la derniere
version car elle serait plus sure. Ce que j'avais ressenti instinctivement.



--
Cordialement,
Az Sam.
Az Sam
Le #21356381
"Stephane Catteau"


Je rajouterais qu'il ne faut pas tenir compte que des failles du
navigateur en lui-même, mais aussi des vecteurs d'infections.
Pour prendre un exemple qui, me semble-t-il, n'existe pas encore, un
navigateur qui créerait sa propre sandbox pour l'execution des scripts,
objects flash et compagnie, serait un plus indéniable en matière de
sécurité. Pourtant cela ne concerne pas directement le navigateur.




Ca c'est ma grande deception de windows7 je dois dire... J'avais naivement
éspéré que, enfin, ce type de vitualisation serait mis en place au coeur du
systeme pour les echanges vers le wan.


--
Cordialement,
Az Sam.
bsch
Le #21356371
Az Sam nous a raconté (news:4b97a5e0$0$23910$)
:

Bonjour / Bonsoir
(rayer la mention inutile)


Une faille 0-Day est elle souvent/rarement presente egalement dans
les versions precedentes ?
L'article ne le dit pas.



Le jour (peut-être le lendemain ...) de la sortie d'Opera 10.50 une
vulnérabilité était annoncée. Concerne aussi les versions précédentes.

Mais depuis quand ?
Je ne vais certes pas réutiliser Opera 3.x de mes débuts, mais les
versions moins antiques sont-elles concernées ? Depuis la 5 il me
semblait tout à fait apte à un usage non multimédia à tout crin. Et
probablement moins ciblée par les malwares actuels.

(j'ai viré la 10.50 qui m'a posé pas mal de pb, suis revenu à la 10.10.
J'avais déjà eu le coup avec la 9.50 qui avait tout perdu, me forçant à
réinstaller la 9.27 from scratch. Opera n'est plus ce qu'il était)

Bon, il reste toujours Lynx et Arachne ...


--
Amicalement

Bernard
Roland Garcia
Le #21356541
Stephane Catteau a écrit :
Jean-Marc Desperrier devait dire quelque chose comme ceci :

Donc il y a réellement un très fort avantage à utiliser la toute
dernière version de navigateur, avec juste la nuance que, quand c'est
une toute nouvelle version majeure avec plein de nouvelles fonctions, il
peut être légitime d'attendre une paire de mois pour vérifier si elle ne
se récupère pas un paquet de nouvelles failles au début.



Je rajouterais qu'il ne faut pas tenir compte que des failles du
navigateur en lui-même, mais aussi des vecteurs d'infections.
Pour prendre un exemple qui, me semble-t-il, n'existe pas encore, un
navigateur qui créerait sa propre sandbox pour l'execution des scripts,
objects flash et compagnie, serait un plus indéniable en matière de
sécurité. Pourtant cela ne concerne pas directement le navigateur.




Faire tourner son navigateur dans une sandbox c'est aujourd'hui possible
avec tout bon antivirus, ou plutôt "suite de sécurité".


--
Roland Garcia
Roland Garcia
Le #21356701
Jean-Marc Desperrier a écrit :

Donc il y a réellement un très fort avantage à utiliser la toute
dernière version de navigateur, avec juste la nuance que, quand c'est
une toute nouvelle version majeure avec plein de nouvelles fonctions, il
peut être légitime d'attendre une paire de mois pour vérifier si elle ne
se récupère pas un paquet de nouvelles failles au début.



Je suis d'accord.


--
Roland Garcia
Bruno Tréguier
Le #21356851
Le 10/03/2010 à 18:00, Az Sam a écrit :
En gros, dans un cas vous courez le risque qu'il y ait une faille,
dans l'autre vous en êtes certain. ;-)



comme celle ci ?
http://www.silicon.fr/fr/news/2010/03/10/internet_explorer_victime_d_une_nouvelle_vulnerabilite_critique____sans_correctif
:-/



Par exemple. :-) Bien que dans le cas présent, on peut se demander quel
est le but réel: c'est la société Microsoft elle-même qui annonce une
vulnérabilité qui ne concerne que les versions 6 et 7 de son navigateur,
sans mettre de patch à disposition pour autant... On voudrait forcer la
main aux utilisateurs pour passer à IE8 qu'on ne s'y prendrait pas
autrement.

Je suis également tout à fait d'accord avec ce qu'ont dit les autres
intervenants, Jean-Marc Desperrier, Stéphane Catteau et Roland Garcia,
notamment en ce qui concerne le fait d'attendre un peu si la nouvelle
version est surtout là pour rajouter des fonctionnalités un peu nouvelles...

Concernant les "0-day", la société eEye Digital Security propose une
page intéressante sur son site: le "zero-day tracker", qui met en avant
le nombre de jours de vulnérabilité avérée (entre le jour du
"disclosure" de la faille, et la mise à disposition d'un correctif).

C'est là: http://research.eeye.com/html/alerts/zeroday/index.html

C'est à mon avis un indicateur bien plus pertinent que le nombre "brut"
de failles découvertes dans un produit ou un autre... La nouvelle faille
concernant IE[67] n'y est pas encore listée, mais je pense que ça ne
saurait tarder...

Bonne soirée !

Cordialement,

Bruno
Publicité
Poster une réponse
Anonyme