50 % des sites web utilisent WebAssembly à des fins malveillantes

**Bruno** · 29/10/2019, 10h18

50 % des sites web utilisent WebAssembly à des fins malveillantes,
selon une étude de la Technische Universität Braunschweig

Pour permettre aux sites web d’être rapides, efficaces, portables et sécurisés, les développeurs de site web ou d’applications web utilisent généralement WebAssembly (Wasm). Wasm est un standard du World Wide Web pour le développement d’applications, pouvant être exécuté dans les navigateurs modernes et fournissant de nouvelles fonctionnalités ainsi qu’une optimisation considérable du temps d’exécution. Il fournit également un moyen d'exécuter un code écrit dans divers langages (C, C ++ ou Rust). Malheureusement, la plupart des logiciels malveillants les plus sophistiqués sur le web ont des scripts malveillants dissimulés dans des iFrames (élément permettant aux développeurs de sites web d’intégrer dans une page HTML le contenu d'une autre page HTML).

Nom : img1456.png
Affichages : 107316
Taille : 23,8 Ko

Plus tôt cette année, une étude réalisée par les universitaires Marius Musch, Christian Wressnegger, Martin Johns et Konrad Rieck de l’université technique de Brunswick en Allemagne, a révélé que plus de 50 % des sites utilisant Wasm ont des motivations malintentionnées, telles que l'extraction de crypto-monnaie et l'obscurcissement du code malveillant. L'injection d'iFrames malveillants dans des sites web fiables est devenue une technique d'attaques bien appréciée des acteurs de la menace.

L’acteur de la menace peut utiliser l’injection SQL pour injecter l'iFrame malveillant dans la base de données principale du site web de la victime. Une attaque par injection SQL consiste à insérer une requête SQL via les données d'entrée du client dans l'application. La présence d’une page web malveillante chargée avec iFrame peut être rendue invisible en utilisant le moins de pixels possible. Quelquefois, non seulement la page d'accueil du site web légitime est infectée, mais toutes les autres pages du site web peuvent également être infectées. Dans la capture d'écran de Wireshark ci-dessous, un paquet HTTP entre le site web compromis et l'hôte de la victime contient un iFrame avec <iframe src = 'lien' style =' width: 10px; hauteur: 10px frameborder = 'no'> </ iframe> en tant que source iFrame.

Nom : IMG2456.png
Affichages : 5747
Taille : 186,2 Ko

Dans cet exemple, le logiciel malveillant était un kit d’exploitation

L'équipe de recherche de l’institut pour la sécurité des applications et l'institut de la sécurité des systèmes de l’université technique de Brunswick a examiné un certain nombre de sites web sur une période de quatre jours. Les conclusions de ses travaux ont révélé que : 950 modules Wasm ont été trouvés sur 1 639 sites, soit environ un site sur 600. Une partie importante de ces modules n'était pas chargée sur la page d'accueil du site, mais sur des sous-pages, souvent via un script tiers ou une iframe provenant d’un tiers (795 sites de l'échantillon étaient concernés). Alors que 87 modules Wasm se trouvaient sur un unique site (indiquant un développement personnalisé pour ce site web particulier) certains modules Wasm pouvaient se retrouver sur plusieurs sites à l’exemple d’un module qui a été trouvé sur 346 sites différents.

En outre, l'étude a également fourni des données sur l'étendue de l'utilisation de Wasm dans des sites web pertinents, en utilisant deux indicateurs à cet effet. Le premier est la taille du module Wasm, allant de 8 octets à 25,3 Mo, avec une valeur médiane de 100 Ko par module. L'étude indique que certains sites testaient simplement si le navigateur pouvait prendre en charge Wasm, alors que d'autres sites s'appuient essentiellement sur les fonctionnalités exposées par le module.

Sources : Technische Universität Braunschweig - New Kid on the Web: A Study on thePrevalence of WebAssembly in the Wild

Et vous ?

Saviez-vous que des sites fiables pouvaient être des vecteurs d'attaques contre vous ?

Selon-vous, comment se protéger de cette technique d'attaque ?

Quelle est la valeur réelle de cette étude ? Pertinente ou pas ?

Voir aussi :

Le WebAssembly serait moins performant en terme de rapidité que le code natif, selon les résultats d'une étude

RustPython, un interpréteur Python écrit en Rust et compatible avec WebAssembly, est disponible, pourrait-il rivaliser avec CPython ?

Avec WASI, une interface système pour exécuter WebAssembly en dehors du Web, Mozilla voudrait apporter un nouveau standard à l'industrie

**ShigruM** · 29/10/2019, 21h21

Merci pour l'article tres interessant.

webassembly semble etre encore pas assez mature et présente des failles, il vaut mieux ne pas l'utliser pour l'instant et attendre encore quelque sannées.

de toute façon cette techno n'a peu d’intérêt aujourd'hui, je veux dire celui qui fais de grosses applies lourde sur une page web sa court pas les rue non plus.... et es ce une bonne pratique quand on peut utiliser des clients lourds qui ont des api bas niveau permettant l'exploitation du matériel ? par rapport à un ersatz bricolé comme web assembly.

**Uther** · 30/10/2019, 08h16

Envoyé par ShigruM

Merci pour l'article tres interessant.

webassembly semble etre encore pas assez mature et présente des failles, il vaut mieux ne pas l'utliser pour l'instant et attendre encore quelque sannées.

Vous en avez compris que c'est WebAssembly qui causait des failles de sécurité alors qu'il n'en est rien.

Les seules failles réelles abordées dans l'article sont des injections SQL. Une partie des hackers a choisi d'utiliser ces failles pour exécuter du WebAssembly, mais ils auraient tout aussi bien pu exécuter du JavaScript pour arriver au même résultat.

**ShigruM** · 30/10/2019, 17h49

Envoyé par Uther

Vous en avez compris que c'est WebAssembly qui causait des failles de sécurité alors qu'il n'en est rien.

Les seules failles réelles abordées dans l'article sont des injections SQL. Une partie des hackers a choisi d'utiliser ces failles pour exécuter du WebAssembly, mais ils auraient tout aussi bien pu exécuter du JavaScript pour arriver au même résultat.

tu devrait relire l'article, tu raconte n'importe quoi

**Uther** · 30/10/2019, 19h50

Tu pourrais être plus précis sur ce sur quoi tu n'es pas d'accord ?

L'étude ne montre pas que WebAssembly crée des failles de sécurité en soi. L'article évoque les faille d'injection SQL qui ne sont pas dues au WebAssembly. Certes cela pourrait permettre d'en injecter dans une page, mais ça ne permet rien que l'on ne pouvait déjà faire avec du JavaScript. L’intérêt du WebAssembly pour les usages malicieux est surtout qu'il permet de faire des mineurs de cryptomonnaie plus efficaces. Mais techniquement il ne permet rien de plus dangereux qu'avant.

**Pierre Louis Chevalier** · 30/10/2019, 23h23

Envoyé par Uther

L'étude ne montre pas que WebAssembly crée des failles de sécurité en soi

C'est pas ce que l'étude montre ça c'est ton interprétation

Envoyé par Uther

L’intérêt du WebAssembly pour les usages malicieux est surtout qu'il permet de faire des mineurs de cryptomonnaie plus efficaces

C'est bien ce que dis l'étude, entre autres, mais l'étude est très longue et montre plein d'autres choses. En fait la news n'est même pas un résumé de l'étude, c'est l'étude qu'il faut lire, et qui est intéressante.

Envoyé par Uther

mais au techniquement il ne permet rien de plus dangereux qu'avant.

Tu te rends compte que c'est trivial ce que tu écris ? c'est comme si tu écrivais que le C ne fait rien de plus que ce que tu peux faire en assembleur.
C'est pas l'objet de l'étude, que tu as pas lu je suppose.

L'étude fait juste un constat c'est tout.

**NotAèfka** · 29/10/2019, 23h12

Miner des cryptomonnaies avec un CPU ?? Ben il y en a qui ont du temps à perdre ! Surtout que quand un module wasm tourne en arrière plan, il empêche tout rafraichissement de la page et fait planter l'onglet (le fait hang) si il tourne trop longtemps ! Il est clairement impossible de faire un mineur de cryptomonnaies.
Comment est il possible d'injecter un code malveillant dans un site fiable ?? Wasm est soumis aux politiques de sécurité des navigateurs. De la même manière que javascript. Il ne peux RIEN faire de plus que javascript ! Injecter du code dans un iframe est IMPOSSIBLE dans les navigateurs modernes (le navigateur le bloque tout simplement).
Il me semble que ceux qui ont fait l'étude ait tendance à crier au loup dès qu'ils ont des résultats. Ils feraient bien de les vérifier.
J'ai beaucoup beaucoup tryhard sur wasm ces derniers temps. Il peux très difficilement être utilisé d'une manière qui nuit à l'utilisateur car l'attaquant ne peux pas faire grand chose d'utile en restant invisible.
Wasm existe pour sa vitesse et son bas niveau. Wasm marche du tonnerre ! Ce n'est pas une évolution, c'est une révolution.

**earhater** · 29/10/2019, 23h35

Miner des cryptomonnaies avec un CPU ?? Ben il y en a qui ont du temps à perdre ! Surtout que quand un module wasm tourne en arrière plan, il empêche tout rafraichissement de la page et fait planter l'onglet (le fait hang) si il tourne trop longtemps !

Bien sur que non, WebAssembly peut donner des instructions au GPU via WebGL (c'est ce qui est fait de base quand tu utilises emscripten). Et avec les workers en arrière plan je sais pas si c'est possible de donner des instructions GPU par contre, mais si tu fais ça bien tu peux largement faire tourner le script un moment sans faire planter l'onglet. Pdt un moment des sites presses donnaient la possibilité de lire les articles en minant de la crypto pendant la lecture, je trouvais que ça faisait un business modèle alternatif à la pub intéressant.