IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 938
    Points
    75 938
    Par défaut Sécurité informatique : Google pourrait devenir une plate-forme de transmisson d'informations pour des attaque
    Sécurité informatique : Google pourrait devenir une plate-forme de transmisson d'informations pour des attaques via botnets

    Selon Pacific Coast Information Systems, compagnie canadienne de consulting spécialisée dans la Business Transformation Architecture et les solutions technologiques pour des entreprises de taille moyenne, les pirates informatique pourraient essayer de profiter de la popularité de Google pour insérer du code malveillant dans des botnets à chaque recherche lancée pour un mot bien précis.

    L'entreprise de Vancouver explique que les créateurs de botnets pourraient choisir un mot-clé que personne n'utilise encore sur le web, et l'utiliser dans Google pour trouver et exécuter des codes malicieux cachés sur des sites internet (sous ce mot-clé) ce qui reviendrait à transformer Google en plate-forme de transmission de code ou d'instructions aux botnets. Les moteurs de recherche feront alors le "sale boulot". Car si Google est actuellement visé, la menace pourrait s'étendre à d'autres sites du même genre en fonction de leur popularité. Bing serait donc également menacé.

    Cette stratégie ne nécéssitant pas une technologie de pointe, rencontrerait un succès presque garanti, compte tenu du nombre pharaonique de requêtes lancées chaque jour associées à l'indexation de tous les sites Internet promise par les moteurs de recherche et qui est effective sur Google.

    Pour l'heure, ni PCIS ni aucune autre compagnie n'aurait remarqué l'emploi d'une technique de ce genre. Mais la faille est ouverte et son utilisation possible, si ce n'est déjà en chemin.

    Cette révélation montre une nouvelle fois la vulnérabilité des outils populaires du web, comme l'est aussi Twitter, qui peuvent être transformés en machines de guerre par les hackers. Symantec a d'ailleurs récemment identifié le malware Downloader.Sninfs qui utilisait le site de micro-blogging comme une structure command-and-control pour diffuser le malware Infostealer.Bancos (qui dérobait les mots de passe via une arnaque de type phishing). Au moins 11.000 ordinateurs (la majorité au Brésil) ont été touchés et l'enquête se poursuit. L'attaque ne se faisait donc pas directement sur Twitter, mais le site était utilisé pour être un lien avec ceux contrôlant les botnets.

    La différence de taille étant que l'on peut facilement fermer un compte Twitter qui serait infecté, mais comment faire avec un moteur de recherche qui serait totalement compromis ? On ne peut pas désactiver tout Google.

    Beaucoup de services sur le web (Twitter, Google, Facebook, etc.) sont construits de manière assez ouverte ce qui ne garanti en rien la confidentialité des informations qu'on leur confie en cas d'attaques ; ni l'imperméabilité totale de leurs environnements.

    Source : PCIS

    Comment peut-on lutter contre cette épée de Damoclès qui oscille dangereusement au dessus de la tête de Google et des autres moteurs de recherche ?

  2. #2
    Membre habitué
    Profil pro
    Inscrit en
    novembre 2007
    Messages
    81
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : novembre 2007
    Messages : 81
    Points : 143
    Points
    143
    Par défaut
    Hihi, sur le papier c'est réalisable, m'enfin c'est que de la théorie, je pense plus que c'est un coups de pub pour cette société de consulting

  3. #3
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 184
    Points
    2 184
    Par défaut
    Comment peut-on lutter contre cette épée de Damoclès qui oscille dangereusement au dessus de la tête de Google et des autres moteurs de recherche ?
    Dans ce cas là, google, comme ebay, amazon, yahoo, les ngs ou n'importe quoi d'autres, ne sont que des canaux de communication.
    Remplaçant dès lors les canaux de c&c plus classique (comme irc) de manière très très très élégante il faut bien le dire.

    M'enfin, détourner l'usage de ce outils les rend ils pour autant éligible au terme de vulnérable ? Sous entendant que c'est de leur faute....
    Et tant bien même, qu'est ce qui empêcherait un assaillant d'implémenter plusieurs moteurs comme source de controle ? et donc d'outrepasser toute tentative de nuisance.

    De même comment fera t'on le jour où l'on devra interdire un mot clef ?

    Car imaginons deux secondes que pour passer mes commandes, je les poste dans des forums, des modules de commentaire clients ect, avec un même pseudonyme d'identification
    Le tout répartis sur une liste de sites cible.
    Il ne reste plus qu'ensuite à requêter google pour que les zombies retrouvent les pages associés à ce pseudo et en tire les messages... redondés sur plusieurs sites.

    Donc pour enrayer la menace, soit j'interdit le mot clef, soit je supprime le message dispatché sur les différents sites... difficile.

    Hihi, sur le papier c'est réalisable, m'enfin c'est que de la théorie, je pense plus que c'est un coups de pub pour cette société de consulting
    En sécurité tous les moyens sont bon, et la fin justifie toujours les moyens, donc il n'y à pas de solution de crevards / mangeur de pierre.
    Simplement des cas d'utilisation plus ou moins adapté, promis à la réussite.

    a plus

  4. #4
    Membre confirmé Avatar de vg-matrix
    Inscrit en
    février 2007
    Messages
    1 220
    Détails du profil
    Informations personnelles :
    Âge : 32

    Informations forums :
    Inscription : février 2007
    Messages : 1 220
    Points : 601
    Points
    601
    Par défaut
    Prendre le controle des moteurs de recherche
    Ca craint vraiment
    Il est difficile de retrouver ses erreurs lorsqu'on est persuadé que son code est juste...

    Groupe des développeurs ivoiriens

Discussions similaires

  1. Quels sont les outils nécessaires pour créer une plate-forme ?
    Par overon dans le forum Langages de programmation
    Réponses: 12
    Dernier message: 27/03/2007, 19h10
  2. Comment viser une plate forme XP en compilant depuis Vista?
    Par MonsieurHelmut dans le forum Visual C++
    Réponses: 2
    Dernier message: 20/02/2007, 17h36
  3. Test d'une plate forme de sécurité
    Par baali_hacene dans le forum Sécurité
    Réponses: 5
    Dernier message: 30/10/2006, 12h19
  4. Message: 'ce symbole est propre à une plate-forme'
    Par neho88 dans le forum Delphi
    Réponses: 4
    Dernier message: 18/10/2006, 15h14
  5. Information sur une plate forme de développement
    Par QAYS dans le forum Langages de programmation
    Réponses: 3
    Dernier message: 21/02/2006, 14h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo