java et sécurité internet

java et sécurité internet - Java - Programmation

Marsh Posté le 09-09-2011 à 16:01:42    

Salut,
J'ai décidé de me pencher un peu plus sur les risques potentiel d'est application java, car plusieurs documents trouvés sur le web et mon expérience m'ont intrigué, et comme j'aime tout comprendre ...
 
Premièrement, il y a quelques mois, j'ai fait une recherches Google qui m'a présenté en premier titre un site de thermodynamique très officiel (que je connaissais bien d'ailleurs). J'ai cliqué ... et je me suis retrouvé sur un autre nom de domaine, avec une simulation de l’explorateur window. Le temps que je comprendre que je suis berné, quelque chose à du ce télécharger et s'exécuter automatiquement. Je passerai les détails, mais cet animal a réussi à fermer toutes mes applications et à neutralisé l'antivirus et le pare-feu. j'ai immédiatement retiré le câble ethernet, puis j'ai rlancé mon PC jusqu'à ce que je puisse lancer le gestionnaire des tâches avant que le rogue (car s'en était un) s'exécute. Et là, cuic, il n'esxt pas pkutôt apparu que je l'ai terminé, puis j'ai laissé à MalwareByte le soin de l'exterminé (je l'ai auparavant envoyé aux labos d'avira). Mais au fait ... on est en java ici !  :fou:  
 
j'y arrive,  j'ai été demandé sur le forum d'avira comment es-ce qu'on pouvais paré ce type d'attaque et comment ce rogue avait bien pu se téléchargé, et on m'a répondu : "en java sans pb".
 
Aujourd'hui, je tombe sur cette page :http://www.java.com/fr/download/help/cache_virus.xml
bon, je comprend bien que le cache est un  endroit idéal, mais comment un fichier java .class ou autre peut-il s'exécuter automatiquement ?! ce n'est pas le tout d'insérer le fichier sur le disque dur, il faut aussi qu'il puisse s'exécuter ...
 
vous pourriez m’expliquer ça ?
merci.  
 
NB  au passage, il n'y a pas de risque côté javascript/AJAX ? ou encore vbs (bien que ce soit compatible uniquement avec window) ?

Reply

Marsh Posté le 09-09-2011 à 16:01:42   

Reply

Marsh Posté le 09-09-2011 à 16:26:33    

En très succint : java est blindé de failles, on en découvre très souvent plusieurs dizaines qui permettent en général d'exécuter du code arbitraire (donc téléchargement d'un rogue puis exécution hors de la VM java avec accès complet à ton pc).
 
On a par le passé découvert aussi des failles dans l'interpréteur javascript de certains navigateurs, mais c'est une découverte un peu moins fréquente. Pour vbs j'en sais rien.
 
De façon générale le trio gagnant concernant les failles c'est java / activeX / PDF avec Adobe Reader.

Reply

Marsh Posté le 09-09-2011 à 16:45:37    

oups, moi qui croyait java sécurisé  :bounce:  
ok, je comprend bien qu'il est facile à un fichier qui s'est introduit sur le PC (par le cache java par exemple) peu avoir facilement accès à tout le PC.
Seulement, il faut que ce fichier s'auto-exécute ... ce qui n'est pas possible en java je croit. la ruse consisterai donc à introduire dans le cache un fichier qui n'est pas un fichier java ?
merci.

Reply

Marsh Posté le 09-09-2011 à 18:39:38    

je viens d'y penser, un script vbs ou js ne peut-ils pas lancé un fichier présent sur le pc ?

Reply

Marsh Posté le 10-09-2011 à 01:33:10    

Dans l'ordre.
 
=> Si je ne me trompe pas, en java une partie du soft est téléchargé, jusqu'au moment ou la JVM peut décrypter la signature du package et est censée te demander si tu veux exécuter le code ou pas. Seulement c'est la que l'exploit est utilisé, la partie du code téléchargé contient déja les instructions pour crasher la jvm et pouvoir en sortir. A partir de la téléchargement de la charge virale a proprement parler et infection de ton pc.
 
=> En vbs et en js injectés dans une page web tu n'es pas censé avoir accès aux fonctions du système de fichiers, juste à des fonctions liées a l'affichage HTML. Sauf faille de l'interpréteur inclus dans le navigateur.


Message édité par ccp6128 le 10-09-2011 à 01:36:11
Reply

Marsh Posté le 10-09-2011 à 10:02:02    

ok, donc en fait c'est la simplicité même d'introduire un virus java ?
En effet, je me demandais comment un fichier pouvait s'auto-exécuter, mais je suis bête, c'est la jmv elle-même qui le lance en voulant lancer l'applet !!
Mais alors ... aucune sécurité ? si, la signature ... mais quand je fait un applet perso, il s'affiche très bien même si je ne le signe pas (comme je ne sais pas comment signer une appli  :lol: ).

Reply

Marsh Posté le 11-09-2011 à 19:17:46    

Salut,
après avoir longuement écumé la toile, j'ai appris que ce genre d'infection s'appelle le Drive By Download.
c'est effectivement meurtrier ... heureusement que le concepteur du virus que je me suis chopé n'a pas eu l'idée de remplacer le nom de processus par "svchost.exe" par exemple (svchost est un processus générique de windows. il en existe plusieurs (4 à 7 chez moi), et on ne sait pas trop à quoi ils servent. c'est le nom rêvé pour dissimulé un virus.) A par ça, le gars devait être costaud, parce que pour neutraliser avira antivir et COMODO ... !
 
Heureusement, le drive-by download n'est pas une technique à porté du premier venu, seule une faille dans le navigateur permet de faire cela ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed