Tout administrateur système, responsable sécurité ou responsable informatique le sait probablement en analysant les rapports fournis par sa solution antivirale, le premier vecteur d’infection est la navigation internet. Malheureusement, après avoir mentionné ceci, on a tout et rien dit en raison du caractère trop généraliste utilisé.
Loin de se vouloir un descriptif complet de l’ensemble des méthodes d’infection par le web, ce billet a pour but de répondre aux interrogations du plus grand nombre sur le “pourquoi la navigation n’est pas toujours une activité sûre”.
Le scénario est en général assez classique pour la plupart des cas. Je ne parlerais donc pas dans ce billet des attaques très ciblées, mais de ces attaques de masse auxquelles on doit faire face au quotidien.
Le scénario le plus typiquement utilisé est le suivant :
(1) L’attaquant a besoin d’un site web sur lequel il peut déposer ses fichiers malveillants, on retrouvera ici beaucoup d’hébergeurs gratuits, et proposant des ressources dans des pays peu regardants sur le contenu hébergé, mais les pays occidentaux ne sont pas exempts, loin de là.
(2) Un site web légitime est identifié comme vulnérable aux attaques (typiquement Injection SQL dans un formulaire vulnérable).
(3) Le site web est attaqué afin d’inclure dans les pages légitimes le chargement des fichiers malveillants présents sur le serveur web mentionné en (1), grâce à du code javascript ou des balises Iframe
(4) Des visiteurs sur le site web légitime, mais infecté.
Avec cette “recette”, l’attaquant peut donc tenter d’infecter tout visiteur peu ou mal protégé, et malheureusement, ça marche.
Afin de se protéger contre ces menaces, le filtrage d’URLs n’est pas suffisant car un site web peut très bien avoir une bonne réputation, et être néanmoins attaqué et porteur de code malveillant. Il est donc nécessaire de s’assurer que les solutions de protection de poste de travail, ainsi que les proxys déployés sont en mesure d’analyser le code téléchargé, et notamment de prendre en compte dans ses algorithmes de détection le code Javascript masqué.
En effet, Javascript peut etre écrit de manière très lisible, ou au contraire totalement illisible par l’oeil humain sans assistance. Les SophosLabs décrivent deux techniques de masquage du Javascript dans ces deux billets ici et ici (liens en Anglais).
Le but du masquage du Javascript étant de transformer la chaîne “Bonjour cher visiteur !” en ceci afin de tenter de berner les moteurs de détection et ainsi porter l’infection jusqu’à son destinataire :
Tags:analyse, malware, navigateur web, sécurité, URLs malveillantes
