vendredi 15 janvier 2010 18:08
Google attaqué, c’est la faute à Microsoft
par Camille Gévaudan
tags : navigateurs , Microsoft , Google , sécurité , phishing
L’attaque informatique dont Google a été victime avait un nom de code : « Aurora ». Elle a aussi un fautif : Microsoft. Ces deux délicieuses informations ont été lâchées par la société de sécurité informatique McAfee, qui a travaillé avec les autres entreprises victimes de l’attaque pour en étudier le fonctionnement. Première et effarante constatation : les pirates ont pu injecter du code dans l’ordinateur de leurs cibles grâce à une faille critique du navigateur Internet Explorer. Sa version 6 est particulièrement vulnérable, mais a priori, les versions 7 et 8 du logiciel auraient également été touchées, quel que soit le système d’exploitation sur lequel il tourne (de XP à Seven). Selon McAfee, les victimes ont cliqué sur un lien qui leur inspirait confiance, probablement déguisé dans un e-mail de phishing, qui les a mené vers une page exploitant la faille pour télécharger et installer un logiciel malveillant sur l’ordinateur. Le système d’exploitation peut alors être totalement contrôlé à distance, et envoyer aux pirates les données du réseau d’entreprise sur lesquelles ils veulent mettre la main. « Le logiciel malveillant est très sophistiqué, soigneusement ciblé, et conçu pour infecter le système, dissimuler l’accès ouvert, siphonner les données ou, pire encore, les modifier sans être détecté. » McAfee insiste sur le degré encore inédit de technicité et de dangerosité dont l’attaque fait preuve : « La moindre mention de ce type de « menace persistante avancée » (advanced persistent threat) effraye n’importe quel expert en sécurité. C’est l’équivalent d’un drone moderne sur le champ de bataille : avec une précision chirurgicale, ils lâchent leur charge utile mortelle et quand on le découvre, il est trop tard. » Selon l’expert en sécurité, l’opération Aurora vient de changer le paysage des menaces cybernétiques, en s’attaquant à la propriété intellectuelle d’un large éventail de grosses entreprises peu protégées au niveau informatique. La date de l’attaque — le mois de décembre 2009 — ne semble pas avoir été choisi au hasard, puisque les congés de Noël ont réduit le nombre d’employés présents. La faille est dite « zero day », c’est-à-dire qu’elle était déjà exploitée au moment de sa découverte. Microsoft a donc réagi après coup, en publiant un rapport sur la faille et des conseils de sécurité sur son blog. Mais la faille n’est pas encore corrigée. Comme l’avoue l’expert de MacAfee, « tout ce que je peux dire, c’est “wow”. » Sur le même sujet :
Il y a 12 réactions à cet article.
Lire les réactions.Réagir à cet article.
Partager cet article
Sur les mêmes thèmes:
navigateurs - « La grande majorité des utilisateurs ignorent qu’ils ont le choix entre plus de cinq navigateurs »
Microsoft - « Si l’utilisateur appuie sur la touche F1, du code arbitraire peut être exécuté. »
Google - Téléphone : Google perd sa marque
sécurité - « La réalité du cybercrime dépasse les pires scénarios »
phishing - Guide pratique : Comment choisir ses mots de passe sur le net
Actualit
Lib.fr
- Huchon veut faire du second tour le «printemps de la gauche et des écologistes»
- Le portrait de Jacques Viguier sort de la bouche de ses enfants
- L'OM éliminé par le Benfica Lisbonne
- Nouvel: la tour Signal à La Défense se fera «quand la crise se dissipera»
- Nouvelle attaque contre Facebook (et ce n'est pas la dernière)
