Discussion :

[Michael Guilloux]

Des chercheurs utilisent HTML5 pour mener des attaques drive-by-download
Grâce à la mise en œuvre de nouvelles techniques d’obscurcissement

Ces dernières années, les applications web connaissent une profonde mutation. Les vieilles technologies qui faisaient les beaux jours du web cèdent progressivement leur place à de nouvelles qui permettent la création d’applications clientes riches basées sur le web. Ces nouvelles technologies permettent de réduire l’écart entre les applications basées sur le Web et les applications de bureau traditionnelles. Les résultats sont donc des applications web presque aussi conviviales que les applications de bureau, tout en conservant les avantages du Web.

Toutefois, il ne faut pas balayer du revers de la main les vieilles technologies en les qualifiant de révolues ou vulnérables. Avant de se jeter dans l’euphorie du Web moderne, il faudrait également savoir que cela ne nous débarrasse pas totalement des menaces de sécurité présentes sur la toile.

Bien au contraire, « la croissance explosive des logiciels malveillants est continuellement alimentée par la publication de nouvelles technologies pour le Web », expliquent des chercheurs italiens. « D'un côté les comités de normalisation, les développeurs de navigateurs web et les grandes entreprises opérant sur Internet font pression pour l'adoption de technologies permettant le développement d’applications clientes riches sur le Web », disent-ils, « de l’autre côté, l’épanouissement de ces technologies multiplie les possibilités de développer des logiciels malveillants qui sont plus efficaces et plus difficiles à détecter que dans le passé », ont-ils ajouté.

Pour soutenir leurs propos, les chercheurs Alfredo De Santis, Giancarlo De Maio et Umberto Ferraro ont mis en œuvre de nouvelles techniques d’obscurcissement basées sur certaines des caractéristiques de la future norme HTML 5.

Lorsqu’elles ont été expérimentées sur un ensemble de logiciels malveillants de référence, ces techniques ont été en mesure de duper des systèmes de détection de codes malveillants. Les chercheurs précisent également que sans leurs techniques d’obscurcissement, les systèmes dupés avaient pourtant été capables de détecter les malwares lors de l’analyse.

« Toutes les techniques sont basées sur le schéma original de logiciels malveillants drive-by-download », expliquent les chercheurs. Dans la première phase, le code malveillant est divisé en morceaux et le malware est caché et stocké du côté serveur. « Une fois que la victime visite la page malveillante, le malware est téléchargé, réassemblé et exécuté ».

Par contre, les phases de distribution et de dés-obscurcissement du code malveillant se passent des modèles typiques et bien connus qui sont utilisés par les pirates. Elles ont été exécutées en utilisant les API HTML 5 basées sur JavaScript.

Le but des chercheurs à travers leur démonstration est d’attirer l’attention des développeurs de systèmes de détection de codes malveillants sur la nécessité de les adapter pour faire face aux menaces alimentées par les nouvelles technologies du Web. Pour éviter que leurs techniques ne soient rapidement exploitées par les pirates, les chercheurs ont également accompagné leurs travaux de mesures pour les contrecarrer.

Sources : Net Security, rapport de l’étude (pdf)

Et vous ?

Qu’en pensez-vous ?

[imikado]

Si ça continue, on passera plus de temps à analyser la page qu'à la lire
On pourrait également imaginer un conteneur (a la docker) pour nos navigateur évitant ainsi toute infection du système

[Aiekick]

tu veux dire une sandbox pour chaque page ?

[rambc]

Un sytème de bac à sable ?

[lingtalfi]

Ben oui, ça me paraît inévitable (malheureusement).
Il faut bien faire attention quand on créé un site, mais ça doit faire partie de l'éducation du créateur de site.
Je pense qu'on est pas trop mal éduqués pour l'instant et qu'on sait où sont les failles, même si on fait encore quelques erreurs...

[benjani13]

Je comprend pas trop pourquoi on met en avant HTML5 ici alors qu'il faudrait plutôt mettre en avant les outils de détections qui ne sont pas assez efficace (d'ailleurs on parle de quoi ici? WAF? IDS? Antivirus?). Ce n'est pas HTML5 qui est vulnérable. Ils profitent juste des nouvelles syntaxe de HTML5 qui n'ont pas encore été prise en compte par les divers outils. Le soucis est d'un côté du navigateur qui possède une faille, et de l'autre des outils de détections.

[supertonic]

La mode est au tout html/js ... et dans quelque années on repassera au tout prorio et/ou natif ....

[Traroth2]

Si ça continue, on passera plus de temps à analyser la page qu'à la lire
On pourrait également imaginer un conteneur (a la docker) pour nos navigateur évitant ainsi toute infection du système

Non, ça veut simplement dire qu'analyser chaque fichier téléchargé n'est pas une bonne stratégie. Il faut analyser l'ensemble du code téléchargé, globalement, tel qu'il sera traité par le navigateur.

[eclesia]

Les résultats sont donc des applications web presque aussi conviviales que les applications de bureau, tout en conservant les avantages du Web.

ca c'est un beau troll.

Non sérieusement ? conviviale dans le sens épuré oui, mais le reste c'est encore 20ans de retard. ca rame, ca bug, c'est long a charger, ca prend 100Mo+ de mémoire par onglet, c'est impossible a débugger et c'est réduit au minimum en fonctionnalité. Il faut arreter les aneries à un moment.
Un tracteur reste un tracteur meme avec des néons.

[le_chomeur]

ca c'est un beau troll.

Non sérieusement ? conviviale dans le sens épuré oui, mais le reste c'est encore 20ans de retard. ca rame, ca bug, c'est long a charger, ca prend 100Mo+ de mémoire par onglet, c'est impossible a débugger et c'est réduit au minimum en fonctionnalité. Il faut arreter les aneries à un moment.
Un tracteur reste un tracteur meme avec des néons.

En quoi ne sont t-elles pas conviviales ?
20 ans de retard ha bon ?
ça rame ? ça ne veut rien dire ...
ça bug ? waou quel argument ...
Long à charger ? ha bon ? quid d'une application java ( troll inside ... )
100mo par page ? c'est 10 par défaut par onglet non pas par page ... combien de ram pour une application native complète ?
Impossible à débugger une appli web ? c'est une joke ? ( que ce soit en javascript , via les débugger intégrés aux navigateurs ou côté back tous les outils sont disponibles ! )
Réduit en fonctionnalité ? je ne vois pas grand chose aujourd'hui qui bride une application en fonctionnalité entre une appli lourde et une appli web.

Mais je suis d'accord il faut "arrêter les âneries"

[MintWater]

Il n'y a rien d'extraordinaire dans leur étude, ne pas se faire repérer en obfuscant, splitant et reassablant le code est le B-A BA du logiciel malveillant.
Le problème n'est pas HTML5 ou les nouvelles API qui s’exécutent déjà dans un bac à sable (le navigateur en est un), puisqu'il s'agit d'utiliser des failles connues des navigateurs. L'étude montre simplement certaines techniques pour passer outre les systèmes de détection de code malveillant.