Des chercheurs utilisent HTML5 pour mener des attaques drive-by-download
Des chercheurs utilisent HTML5 pour mener des attaques drive-by-download
Grâce à la mise en œuvre de nouvelles techniques d’obscurcissement
Ces dernières années, les applications web connaissent une profonde mutation. Les vieilles technologies qui faisaient les beaux jours du web cèdent progressivement leur place à de nouvelles qui permettent la création d’applications clientes riches basées sur le web. Ces nouvelles technologies permettent de réduire l’écart entre les applications basées sur le Web et les applications de bureau traditionnelles. Les résultats sont donc des applications web presque aussi conviviales que les applications de bureau, tout en conservant les avantages du Web.
Toutefois, il ne faut pas balayer du revers de la main les vieilles technologies en les qualifiant de révolues ou vulnérables. Avant de se jeter dans l’euphorie du Web moderne, il faudrait également savoir que cela ne nous débarrasse pas totalement des menaces de sécurité présentes sur la toile.
Bien au contraire, « la croissance explosive des logiciels malveillants est continuellement alimentée par la publication de nouvelles technologies pour le Web », expliquent des chercheurs italiens. « D'un côté les comités de normalisation, les développeurs de navigateurs web et les grandes entreprises opérant sur Internet font pression pour l'adoption de technologies permettant le développement d’applications clientes riches sur le Web », disent-ils, « de l’autre côté, l’épanouissement de ces technologies multiplie les possibilités de développer des logiciels malveillants qui sont plus efficaces et plus difficiles à détecter que dans le passé », ont-ils ajouté.
Pour soutenir leurs propos, les chercheurs Alfredo De Santis, Giancarlo De Maio et Umberto Ferraro ont mis en œuvre de nouvelles techniques d’obscurcissement basées sur certaines des caractéristiques de la future norme HTML 5.
Lorsqu’elles ont été expérimentées sur un ensemble de logiciels malveillants de référence, ces techniques ont été en mesure de duper des systèmes de détection de codes malveillants. Les chercheurs précisent également que sans leurs techniques d’obscurcissement, les systèmes dupés avaient pourtant été capables de détecter les malwares lors de l’analyse.
« Toutes les techniques sont basées sur le schéma original de logiciels malveillants drive-by-download », expliquent les chercheurs. Dans la première phase, le code malveillant est divisé en morceaux et le malware est caché et stocké du côté serveur. « Une fois que la victime visite la page malveillante, le malware est téléchargé, réassemblé et exécuté ».
Par contre, les phases de distribution et de dés-obscurcissement du code malveillant se passent des modèles typiques et bien connus qui sont utilisés par les pirates. Elles ont été exécutées en utilisant les API HTML 5 basées sur JavaScript.
Le but des chercheurs à travers leur démonstration est d’attirer l’attention des développeurs de systèmes de détection de codes malveillants sur la nécessité de les adapter pour faire face aux menaces alimentées par les nouvelles technologies du Web. Pour éviter que leurs techniques ne soient rapidement exploitées par les pirates, les chercheurs ont également accompagné leurs travaux de mesures pour les contrecarrer.
Sources : Net Security, rapport de l’étude (pdf)
Et vous ?
:fleche: Qu’en pensez-vous ?
