03 mai 2007
pour vista, un rootkit et un !
Aie!! ça fais mal ..
vbootkit_nitin_vipin_whitepaper
20 mars 2007
Hijack This 2.0 Beta
Mais Merijn Bellekom, son auteur, avait abandonné son développement peu
avant la version 2.0, faute de temps. Aujourd'hui, l'on apprend que
l'éditeur Trend Micro vient de racheter le code à Merijn Bellekom et
propose une version bêta d'Hijack This 2.0 en téléchargement sur son site (notez au passage l'espace dans le nom, qui a donc changé).
Sur son site, l'auteur justifie ce rachat par son manque de temps pour
faire évoluer le programme et sa volonté de ne pas limiter sa carrière
à venir au seul domaine de la lutte antispyware. Trend Micro, de son
côté, n'a pas communiqué sur le sujet. Les spéculations de la
communauté d'utilisateurs d'HijackThis vont donc évidemment bon train :
l'outil restera-t-il gratuit ? Trend Micro compte-t-il l'intégrer à un
produit antispyware ?
Télécharger Hijack This 2.0 bêta
10 décembre 2006
[FAILLE] Myspace quicktime et JavaSctipt
Le service communautaire MySpace a été victime d'un virus baptisé JS/Quickspace.A par l'éditeur antivirus F-Secure. Ce programme malveillant a été posté sur le site sous la forme d'une vidéo au format Quicktime d'Apple.
Sa méthode d'infection est la suivante: l'internaute visite une page web piégée intégrant cette vidéo. Sans prévenir, le système télécharge du code malveillant; il exploite pour cela une fonction de Quicktime permettant aux vidéos d'intégrer des lignes de code en JavaScritp.
Le virus va alors tenter de modifier la page de profil MySpace de l'internaute, s'il en possède une. Sa page inclura alors un menu renvoyant à un faux site MySpace dans le but de récupérer les e-mails, identifiants et mots de passe des utilisateurs, selon le principe du phishing. Un lien vers la vidéo piégée est également ajouté à la page.
Ce virus n'aurait pas causé de dommages selon MySpace, qui a bloqué au plus vite les vidéos contaminées. Le site est par ailleurs entré en contact avec Apple afin de développer dans les meilleurs délais un correctif pour Quicktime.
26 novembre 2006
Rootkit PCI : un endroit chaud pour s'installer
Pas cryptés du tout, tant que les trusted plateforms ne feront pas partie du paysage informatique mondial... le papier de John Heasmann ne Ngss n'est pas franchement plaisant, dépeignant d'un coté la menace très probable d'une génération de rootkits cachés dans les bios des cartes graphiques, et de l'autre la solution salvatrice d'une plateforme du Trusted Computing Group. Peste d'un coté, grippe aviaire de l'autre, l'homo-informaticus n'a guère de chances d'en réchapper libre.
Mais le risque est techniquement bien réel. Heasmann décrit comment l'espace contenu dans les mémoires flash peut servir d'aire de stockage à un code viral échappant aux assiduités des antivirus classiques, des HIDS standards, bref, de toute programme de surveillance traditionnels. Et ce n'est pas la première fois que ce membre respecté de l'équipe Lietchfield trafique les mémoires non conventionnelles. Il avait déjà, par le passé, exploité la zone ACPI des bios d'ordinateurs de la famille Wintel. Cette fois ci, en se penchant sur les bios des cartes PCI en général et des adaptateurs graphiques en particulier, il parvient à loger un code actif pouvant potentiellement s'attaquer à n'importe quelle plateforme (Mac, PC sous Windows ou Unix...), code pouvant agir à « très bas niveau », directement depuis la racine du bus PCI, à deux pas du processeur, de la mémoire, du DMA...
Doit-on préciser qu'un formatage du disque dur, un reboot de la machine, une reconfiguration totale de l'ordinateur n'y feront rien : le rootkit sera toujours vivant. L'auteur du rapport tente de rassurer ses lecteur en affirmant que de tels tentatives de compromission relève de l'improbable, puisque bon nombre d'utilisateurs négligent encore d'utiliser des antivirus à jour, d'appliquer régulièrement les correctifs conseillés et de protéger leurs accès Wan par l'ajout d'un coupe feu conséquent. Il est ainsi clairement entendu que le virus traditionnel a encore de beaux jours à vivre avant que les « black hats » aient recours à des techniques aussi retorses que celles décrites par Heasmann. C'est ne considérer là que la grande majorité des machines, autrement dit celles qui sont généralement peu susceptibles de contenir des informations à haute valeur ajoutée. Informations qui, quant à elles, seraient hébergées sur des ordinateurs placés sous constante surveillance, choyés, entretenus... autrement dit des machines sur lesquelles, précisément, une exploitation des zones d'adressage bios serait un havre idéal pour des logiciels espions. Les récentes détections de spear phishing et de dépose sélective de spywares à orientation « espionnage industriel » ne font que confirmer cette hypothèse.
Mais pour le commun des mortels,effectivement, les virus-flash ont peu de chance de nous inquiéter. Il y a bien longtemps, oh, si longtemps, l'accès à l'adressage d'une mémoire permanente nécessitait la possession d'une lampe à bronzer et d'un support ZIF. Combien de Basica, combien d'IBMBios, de Basic Applesoft et autres « bas niveaux » se sont vu transportés par des 2732 sur des cartes sans vies attendant une nouvelle âme logicielle... La métempsychose était généralement limitée à 256K (bits). Plus tard, la modification d'un microcode s'effectuait en plaçant un cavalier sur la broche « write enable » de l'eeprom. Plus d'ultraviolet, plus d'extraction de circuit, il était même possible d'y stocker des variables dans une zone RAM attenante : on ne pouvait rêver méthode plus agréable. N'entrait sur la mémoire que le programme souhaité. Vint enfin l'ère du « tout logiciel », ou l'écran-clavier-souris, d'une case à cocher, ont remplacé d'un coup les manipulations matérielles stériles. Nul ne contestera que l'accès « soft » est devenu depuis un confort minimum : plus de cavalier, plus de machine ouverte, voir plus de boot en mode DOS et autres fantaisies. Mais pour ce luxe d'usage, il faut payer un prix : celui du remplacement d'une sécurité matérielle par un cerbère logiciel, celui du TCG, de ses processeurs de sécurité dédié, de ses flicages de licences, des ses très probables incompatibilités et conflits, de ses processus authentifiés par un quarteron d'éditeurs, OEM, fabricants... mais pas franchement par un utilisateur. C'est un peu cher payer pour éviter un rootkit. Surtout si l'on considère le prix d'une série de picots au pas de 2,54 et d'un cavalier en métal doré.
*NdlC
Note de la Correctrice : une eprom flash que l'auteur persiste, au fil
de son article, à baptiser « rom »... Que celui qui parvient à injecter
un code viral sur une rom burinée en dur dans le silicium ou fusillée à
coup de fusibles grillés me traite de vieille RAS-CAS. Profitons-en
pour rappeler l'extraordinaire travail de la Commission de défense de
la langue Française qui avait inventé pour l'occasion l'extraordinaire
MEM, pour Mémoire Electrique Morte. Même nos lointains cousins
Canadiens, pourtant très à cheval sur la défense du Furetière, n'ont
pas osé une telle incongruité. Oh, Rom, unique objet de mon
ressentiment !
08 novembre 2006
[FAILLE] Firefox Thunderbird
RESUME :
Plusieurs
défauts de sécurité ont été découverts dans
le navigateur Firefox, la suite Internet SeaMonkey et le logiciel
de messagerie Thunderbird. L'exploitation
des failles les plus sévères permet à
un individu malveillant de prendre le contrôle à distance
de l'ordinateur de sa victime ou à un virus de s'exécuter
via une page
web ou un courriel piégé.
LOGICIELS CONCERNES :
Firefox 1.5.0.7 et versions inférieures
Thunderbird 1.5.0.7 et versions inférieures
SeaMonkey 1.0.5 et versions inférieures
CORRECTIF :
Les utilisateurs
concernés doivent installer immédiatement la nouvelle
version (2.0 ou 1.5.0.8 pour Firefox) correspondant à leur
logiciel via le site de l'éditeur, afin de prévenir
toute exploitation malveillante de ces failles :
17 octobre 2006
iRc quelques commande
Irc est
un client de connection vers un serveur. Il va vous permettre de
dialoguer en direct sur les channels de ce serveurs, qui se trouvent
dans de nombreuses villes, Pays, pour une connection plus simple. Un
canal IRC est aussi appelé un chan. Lorsqu'on arrive sur des chans il
est tout de suite facile de voir qui est opérateur du chan, un "@"
devant le nick, qui est voicé avec un "+" devant le nick, et qui est
banni: y'a qu'à regarder la liste dans channel info.
Dès son arrivé
sur un chan il est tout de suite possible de savoir quel genre de types
sont dessus. Si les mecs ont un nick écrit comme: c0Wb0Wz, h3lls
Tr0y4ns, etc... Z'êtes tombé sur un chan de lamers. dans tout les cas,
la présence d'un topic est elle aussi déterminante sur la mentalité
d'un chan.
Irc permet une multitude de commande sans forcement passer par les accord de securite etablie par les 0s
je me suis dit qu'il me fallait
partagez ca..... en faite les gens n'osent pas se servir de irc pour
diverse raison alors voici quelques code qui vous seront utile
Tout comme sur telnet, IRC réagit avec des systèmes de commandes à entrer pour éxécuter des fonctions spécifiques.
"Eléments de syntaxe:
[] signifie que l'argument en facultatif.
# est employé à la place de n'importe quel chiffre/nombre.
message désigne un texte, quel qu'il soit.
channel fait référence à un canal dont le nom commence par # ou & (ie: général ou local).
Nick indique le nickname, ou surnom, tel qu'utilisé communément sur IRC. Bon gars ce Nick.
C'est parti !
/admin server
renvoie le nom de l'administrateur du serveur désigné.
/away message
vous place "away", c'est-à-dire temporairement absent d'IRC (si vous ne donnez pas de message, vous ne serez pas placé "away"). NB: même "away", vous pouvez continuer à parler normalement... ceci est juste une indication donnée aux autres utilisateurs comme quoi vous êtes occupés à autre chose.
/ban nick
effectue un "ban" du nick désigné pour le channel sur lequel vous êtes.
/bye message
pour quitter IRC en affichant un message de départ.
/broadcast message
pour envoyer un message sur tous les canaux sur lesquels vous êtes à la fois.
/channel channel [passwd]
pour rejoindre un canal (avec mot de passe)
/cmdchar c
change le préfixe de commande IRC (par défaut /) pour le caractère désigné.
/cping nick
affiche le temps de réponse de Nick en secondes.
/ctcp target command
envoie une commande CTCP (Client to Client Protocol) à votre cible(=target). On va dire Nick, pour faire simple. Faites /ctcp target clientinfo pour de plus amples informations.
sound sndname
joue le son "sndname" sur l'ordinateur de Nick.
sound
affiche la liste de son disponibles sur l'ordinateur de Nick.
xdcc list
affiche la liste des fichiers disponibles sur l'ordinateur de Nick.
xdcc version
affiche la version xdcc (actuellement 1.0)
xdcc send #
demande à Nick d'envoyer le fichier numéro # à votre ordinateur.
action = /me finger
affiche le temps de latence et/ou l'adresse email de Nick.
version
affiche la version du logiciel client.
clientinfo
affiche toutes les commandes ctcp d'un logiciel client.
userinfo
affiche le champ "userinfo" d'un utilisateur.
ping
permet de vérifier si un utilisateur est toujours présent.
time
affiche l'heure locale d'un utilisateur.
/date
affiche la date et l'heure.
/dcc command
nick envoie une commande dcc à Nick (voir plus loin).
/debug
montre toutes les commandes "bas-niveau" (low level) de votre logiciel client. A vos risques et périls, plein de trucs étranges peuvent arriver. Je vous conseille juste de tester.
/exit message = /bye
/ignore pattern
vous permet d'ignorer les messages de "nick!user@host" (wildcards reconnues).
-pattern
efface le pattern de la liste "ignore".
/info
donne des informations sur le serveur.
/invite nick channe
l invite Nick sur le canal désigné.
/ison nick
montre si Nick est sur IRC ou non. Ne fonctionne pas sur tous les serveurs.
/join
pour rejoindre le dernier canal sur lequel on vous a invité.
/join channel [passwd]
= /channel
/kick channel nick :msg pour "kicker"(=foutre dehors)
Nick du canal avec un petit message (sympathique ? 
.
/leave channel
pour quitter un canal.
/links affiche
les connections du serveur.
/links mask
montre tous les serveurs contenus dans le mask.
/list
donne une liste de tous les canaux. Attention: vu le nombre de plus en plus importants de canaux sur IRC, vous risquez d'être déconnecté du serveur tellement cela fait de données. Pas de wildcards pour le moment.
-min #
affiche seulement les canaux avec un minimum de # utilisateurs.
-max #
affiche seulement les canaux avec un maximum de # utilisateurs.
-public
affiche seulement les canaux publiques.
-private
affiche seulement les canaux privés (mode +p).
-local
affiche seulement les canaux locaux (ceux avec &).
-global
affiche seulement les canaux globaux.
-topic
affiche seulement les canaux avec topic établi.
-mask-
affiche seulement les canaux reconnus par le mask. Par ex: /list -*mac*
/lusers
affiche des statistiques: le nombre d'utilisateurs IRC dans le monde et le nombre de canaux.
/map
affiche un plan de toutes les connections du serveur (seulement sur Undernet).
/massop
donne le statut d'opérateur à toutes les users du canal.
/massdeop enleve le statut d'opérateur à toutes les users du canal sauf vous.
/massunban
efface tous les bans d'un canal.
/me action
envoie la description d'une action au canal.Peut aussi être utilisé en DCC chat (private action).
/mode channel parm
établit les modes d'un canal:
+p
canal privé.
+s
canal secret.
+i
canal "invite-only". Seuls les users invités peuvent y accéder.
+m
canal modéré. Seuls les utilisateurs "+v" et les opérateurs peuvent parler.
+n
bloque les messages provenant d'ailleurs que le canal (pas de message du serveur, donc).
+t
seul les opérateurs peuvent changer le topic.
+l #
limite le nombre d'utilisateurs d'un canal à # personnes.
+v
nick permet à Nick de parler sur un canal modéré.
+b
liste des bans. Ne fonctionne pas sur certains serveurs.
+b nick!username@hostname
pour bannir Nick du canal.
+k key
établit le mot de passe du canal.
+o nick
donne le statut d'opérateur à Nick.
-x
enleve le mode x, pour peu que x soit un des modes décrits ci-dessus.
/mode nick parm
établit les modes utilisateurs:
+i
utilisateur invisible (ie: vous ne le verrez pas si vous n'êtes pas sur le même canal).
+s
permet de recevoir les notices du serveur (messages concernant l'activité du serveur).
+w
permet de recevoir les wallops, messages envoyés à tous les ops d'un canal.
+o
donne le satut d'IRCop... seulement si vous êtes IRCop :-)).
+d mode "deaf"(=sourd)
. Seulement pour les bots.
/motd [server]
affiche le message du jour [d'un autre serveur IRC].
/msg nick message
envoie un message privé à Nick.
/names channel
affiche la liste des utilisateurs d'un canal. Note: si vous n'êtes pas sur le canal, vous ne verrez pas les utilisateurs qui sont "+i".
/nick newnick
pour changer votre nickname.
/note
?
/notice user|channel msg
(presque comme) /msg, avec cependant la possibilté d'envoyer un message privé à tout le canal.
/notify
affiche la liste "notify".
/notify nick
ajoute Nick à la liste des notifications (notify). Montre chaque signon/off de Nick.
-nick
enleve Nick de la "notify".
/omsg text
envoie un message à tous les ops d'un canal.
/onotice text
envoie une note à tous les ops d'un canal.
/op nick
donne le statut d'op à Nick.
/deop nick
enlève le statut d'op à Nick.
/part channel
= /leave
/ping
ping un utilisateur. Utilisez /ctcp ping pour mesurer le délai de réponse.
/quote raw irccommand
envoie une commande à un serveur IRC, exactement telle que tapée.
/query nick
ouvre une fenêtre de message privés avec Nick.
/quit message
= /bye
/server hostname [port]
vous permet de basculer sur un autre serveur.
/silence
affiche la liste des utilisateurs placés en "ignore".
/silence mask
permet d'ignorer les utilisateurs concernés par le mask.
/signoff message
= /bye
/sound nick soundname
voir ctcp sound.
/stats
affiche des statistiques:
b
affiche la liste des bans du serveur.
c
retourne une liste des serveurs auxquels le serveur peut se connecter ou dont il peut recevoir/autoriser les connections.
h
retourne une liste des serveurs forcés d'agir en "leaves"(=feuilles, les connections étant basées sur le principe d'arborescence) ou autorisés à agir en "hubs"(=pivot/racine).
i
renvoie une liste des hôtes auxquels le serveur autorise les clients à se connecter.
k
renvoie une liste des combinaisons username et hostname des bans du serveur.
l
renvoie la liste des connections du serveur, montrant depuis combien de temps ces connections sont établies, le trafic sur cette connection en bytes et les messages pour chaque direction.
m
renvoie une liste des commandes supportées par le serveur et le compte d'utilisation pour chaque s'il est différent de zéro.
o
renvoie une liste des hôtes dont les clients peuvent devenir (irc)ops.
p
?
s
?
t
?
u
renvoie une ligne montrant depuis combien de temps le serveur est établi.
y
montre les lignes (Class) Y du fichier configuration du serveur.
/summon user@host
invite user@host sur IRC (l'hôte/host doit être un serveur). Obsolete??
/time
= /date
/topic channel text
établit le topic d'un canal.
/trace [user]
affiche les serveurs utilisés pour se connecter à l'utilisateur.
/type
envoie un fichier texte dans le canal.
/unban
pour enlever les bans.
/unban nickmask
efface le mask de Nick (nick!username@hostname) de la liste des bans du canal.
/users
(x)
/version
affiche la version du serveur
/who
channel donne la liste des users du canal désigné.
/whois
donne des informations sur le dernier Nick à avoir rejoint le canal ou envoyé un message privé.
/whois nick
donne des informations sur Nick.
/whowas nick
donne des informations sur Nick, celui-ci n'étant plus en ligne.
/xdcc nick
affiche les commandes utilisateurs XDCC.
/xdcc nick LIST
affiche la liste des fichiers téléchargeables de Nick.
/xdcc nick SEND
# télécharge les fichiers # de Nick.
/xdcc nick VERSION
affiche la version XDCC.
Commandes des IRC Operators:
/connect target port
oblige le serveur distant à essayer d'établir une nouvelle connection avec le serveur cible(=target), sur le port spécifié.
/die
pour forcé le serveur à se déconnecter et cesser toute activité.
/hash
reconfigure un server.
/host
/kill nick
comment le KILL est utilisé pour faire en sorte que la connection du client-serveur soit fermée par le serveur qui a la connection. KILL est utilisé par les serveurs quand ils rencontrent une double entrée dans la liste des Nicks valides et clôt les deux entrées. Commande également accessible aux ircops.
/oper nick password
donne les privilèges du statut d'IRCop à un utilisateur.
/rehash
utilisé pour forcer un serveur à relire son fichier de configuration.
/restart
pour redémarrer un serveur.
/squit server
comment ferme une connection serveur.
/uping ?
/wallops
message message à tous les ops.
Commandes DCC:
chat -
réclame l'ouverture d'une connection DCC ou autorise une telle requête.
send -
envoie un fichier.
tsend -
envoie un fichier texte.
get -
reçoit un fichier (en réponse à un SEND).
tget -
reçoit un fichier texte.
list -
donne une liste de toutes les connections DCC.
/xdcc:
list -
donne une liste des fichiers.
help -
affiche l'aide.
send -
demande un fichier." (Macplus)
"Pour garder un chan il existe des bots: Bot est l'abréviation pour Robot. Un bot est donc en fait un logiciel. Ne vous étonnez donc pas s'il ne parle jamais (sauf quand un 0p facétieux le fait parler).
Un bot effectue des tâches de routine permettant le bon fonctionnement du canal. Il permet à l'op de se libérer d'obligations un rien contraignantes, et lui facilite également la vie lorsqu'il s'agit d'effectuer des actions rapides.
Exemple: un bot réagit beaucoup plus vite qu'un humain en cas de flood...
Sachez
qu'un bot utilise la bande passante pour huit utilisateurs, donc si
tout le monde se met à en balancer un, ça va encombrer un rien.
N'utilisez
pas de bot s'il ne doit servir qu'à "garder" votre canal ou votre
nickname contre d'éventuels usurpateurs (à moins que votrecanal n'ait
une renommée mondiale et votre nick une importance significative).
Personne ne cherchera à s'emparer d'un canal qui ne réunit que deux
personnes.
en bonus une tite video qui ma fait delirer sur un bot justement : ici
aller by3 et bonne poilade 
--------------------
12 octobre 2006
DRM dans les jeux PS3
Des DRM dans les jeux PS3 ?
Alors que de nombreuses voix s'élèvent contre les protections en tous genres, et surtout le DRM,
Sony, qui semble-t-il n'a peur de rien, réfléchirait, selon Ratiatum, à
la possibilité de restreindre l'usage d'un jeu à une unique PlayStation 3.
Un jeu = une console
Le
système de Sony, breveté en 2000, « vérifie qu'un disque est légitime,
enregistre le disque pour cette console de jeux en particulier, et
supprime alors les données de vérification de façon à ce que le disque
soit rendu illisible sur d'autres consoles PlayStation ». Le jeu serait
alors utilisable uniquement avec la console sur laquelle il aurait été
lancé la première fois. Une restriction assez incompréhensible quand on
sait qu'il est assez fréquent de prêter un jeu ou de l'emporter pour
jouer chez quelqu'un d'autre.
Halte aux jeux d'occasion ?
D'après
Ratiatum, ce procédé aurait pour but de stopper la vente d'occasion qui
ne rapporte rien aux éditeurs de jeux, mais qui profite aux joueurs,
ravis de trouver des jeux fraîchement sortis à des prix cassés. À moins
de vouloir déchaîner les passions et de perdre des clients, Sony ne
devrait pas installer cette protection.
Un sursis ?
Même
si ces protections ne devraient pas être présentes dans les jeux
vendus, on pourrait les retrouver dans les fichiers audio et vidéo ou
les jeux en ligne. La transition a déjà commencé avec les fichiers
audio et vidéo, et le téléchargement de jeux pointe avec Valve,
pionnier en la matière.
Faille WPA
un outil exploitant les failles du WPA
Il était connu depuis un certain temps que la norme WPA, successeur du WEP dans le domaine de la sécurité des communications Wifi, souffrait de problèmes notoires.
La preuve est en maintenant d'autant mieux apportée qu'un outil, Wpa_attAck ou wpa-cracker, est sortie récemment. Cet outil permet d'effectuer une analyse par "brute force" sur la phrase secrète partagée utilisée lors de l'établissement de la connexion sécurisée.
A noter que cette faille concerne seulement l'une des parties de la norme, celle qui est la plus facile à mettre en place et aussi la moins sure. Par opposition, la solution basée sur l'authentification 802.1x n'est pas concernée.
Néanmoins ca n'enlève rien au problème : les particuliers, amateur de simplicité (et c'est bien normal...) ainsi que les entreprises ne mettant pas en place une vraie politique de sécurité Wifi sont exposés.
Les solutions :
- Pour les particuliers, choisir une phrase secrète longue et ne reposant pas sur des mots du dictionnaire.
- Pour les entreprises, mettre en place une structure basée sur le 802.1x.
29 septembre 2006
FairUse4WM 1.3
Quelques jours seulement après une nouvelle tentative de bouchage de trou dans le système de protection technique (DRM) Windows Media, une nouvelle version du logiciel FairUse4WM apparaît pour contourner les DRM des chansons et vidéos légalement achetées. Microsoft pensait ruser en changeant de méthode dans son dernier correctif, mais le hacker a suivi le mouvement. "FairUse4WM est ma propre création, il n'a jamais nécessité de code source de Microsoft. Je crée un lien vers les librairies statiques de Microsoft avec le compilateur et différents fichiers de la plate-forme SDK", assure le créateur viodentia. Microsoft, persuadé que le pirate dispose du code source de Windows Media (ce qui supposerait qu'il s'agit d'un employé de la firme), a porté plainte contre X. Il continue par ailleurs de menacer les sites qui diffusent FairUse4WM.
17 septembre 2006
faille internet explorer 16/09/06
Une vulnérabilité non corrigée dans Internet Explorer permet de prendre le contrôle du PC à la visite d'une page web piégée. Un code d'attaque partiellement fonctionnel circule déjà sur Internet, mais les ingénieurs du site spécialisé Secunia affirment être en mesure d'infecter un PC sous Windows XP SP2 totalement à jour de ses correctifs. [Mis à jour le 16/09/06]
Vulnérabilités
L'histoire n'est qu'un éternel recommencement 
. Internet Explorer est ainsi à nouveau trahi par un contrôle ActiveX,
la technologie propriétaire de Microsoft à l'origine de nombreuses
vulnérabilités.
Pour les curieux ou les techniciens, il s'agit cette fois-ci du contrôle daxctle.ocx.
Pour les autres, il suffit de savoir qu'en appelant ce composant depuis
une page web piégée, et en lui passant des paramètres spécifiques, un
pirate sera en mesure de manipuler la mémoire du système afin de lui
faire exécuter un programme de son choix.
La seule visite à une page
web peut donc provoquer l'installation d'un parasite et donc le
détournement du PC. Il s'agit d'ailleurs du scénario privilégié par les
pirates pour l'installation massive de logiciels publicitaires, de
logiciels espions et autres botnets.
Et ne croyez pas qu'il suffise
d'éviter les sites "louches" (pornographiques ou DDlwarez par exemple)
pour y échapper. Les pirates (analyseur de failles
) ont désormais compris qu'il est bien plus simple de prendre le
contrôle d'un site web populaire traditionnel et de modifier ses pages
pour qu'il exploite lui-même la vulnérabilité et distribue le code
malicieux à ses visiteurs. Plusieurs sites web grand public très
connus, et à fort trafic, en ont faits les frais en 2004 lors de
l'attaque du ver Scob.
Un code de démonstration circule déjà.
Il est certes partiel (il ne fonctionnerait que sur Windows 2000), mais
le site Secunia affirme avoir réalisé un code fonctionnel sur un
Windows XP SP2 totalement à jour de ses correctifs. Et si Secunia peut
le faire, il n'y a guère de raison que d'autres en soient incapables.
En
attendant un correctif de la part de Microsoft, la solution la plus
radicale consiste à utiliser un autre navigateur, puisque la
technologie ActiveX n'est reconnue que par Internet Explorer (bien que
Firefox ait lui aussi son lot de problèmes actuellement ! Soyez donc
certains de télécharger la dernière version).
Si cependant vous devez conserver l'usage d'ActiveX (il existe des applications légitimes et fort pratiques de cette technologie, notamment les analyses antivirales en ligne), il est alors possible de déplacer le contrôle en question sur le bureau (faites une recherche sur le fichier daxctle.ocx puis un coupé-coller sur le bureau, en notant au passage son emplacement d'origine afin de le remettre en place lorsqu'un correctif sera disponible).
Le "correctif"
officieux
n'aura guère traîné. L'Internet Storm Center, une source digne de confiance, propose un outil destiné à neutraliser (et réactiver à volonté) le contrôle ActiveX vulnérable.
Enfin, si les manipulations de fichiers ne vous enchantent pas, il ne vous reste plus qu'à attendre qu'un expert comme cr0$0£t ...des experts lol c'etait une blague