[virus]Affaire Scob:le CERT critique les vuln�rabilit�s d'IE

Affaire Scob: le CERT am�ricain critique les vuln�rabilit�s d'Internet Explorer
Par Robert Lemos et Paul Festa

La r�cente attaque du programme troyen Scob est une des raisons qui poussent les experts � pr�coniser l'usage d'un navigateur autre que celui int�gr� par d�faut dans Windows. Le centre d'alerte officiel du gouvernement am�ricain en fait partie.

SAN FRANCISCO � La faille de s�curit� du logiciel Internet Explorer (IE) de Microsoft, exploit�e la semaine derni�re par l'attaque du virus troyen Scob, est une aubaine pour les navigateurs concurrents, tels que Mozilla et Opera. Les internautes qui les utilisent n�ont en effet pas compt� parmi les victimes.

Cette nouvelle attaque a semble-t-il �t� mise en �chec, puisque le serveur utilis� par les pirates a �t� d�sactiv�. Ils corrompaient des sites web pour les faire pointer vers ce serveur bas� en Russie. Les internautes qui surfaient sur ces sites pirat�s recevaient un cadeau empoisonn�: la machine russe leur installait un cheval de Troie connu sous les noms de Scob, JS.Scob.Trojan, Download.Ject ou encore JS.Toofeer. De type keylogger, il enregistre tout ce que l�utilisateur tape sur son clavier, et ouvre ensuite une porte d�rob�e sur son syst�me.
advertisement
Pour ne pas �tre victime de ce genre d�attaque, qui vise � r�colter des donn�es confidentielles, des experts en s�curit� pr�conisent deux mesures d�urgence: �d�sactiver JavaScript dans Internet Explorer ou installer un autre navigateur�, indique notamment Johannes Ullrich, directeur technologique du site de surveillance Internet Storm Center. Car l�une des failles exploit�es par les pirates n'a pas encore �t� corrig�e par Microsoft. �J�esp�re que Microsoft fournira rapidement un patch�, ajoute l'expert.

En attendant, la seconde solution plus radicale a les faveurs de l'US-CERT (U.S. Computer Emergency Readiness Team), organisme charg� aux �tats-Unis de la d�fense contre les menaces informatiques en provenance de l'internet. �Les technologies li�es [au navigateur IE] comportent de nombreuses vuln�rabilit�s de taille�,indique-t-il dans son bulletin de s�curit� du 25 juin dans lequel il dresse six conseils de base dont le dernier est le suivant: �On peut limiter les risques d�exposition � ces vuln�rabilit�s en utilisant un autre navigateur, surtout lorsque l�on surfe sur des sites � la fiabilit� douteuse.�

Optimiser les param�tres de s�curit� d'IE r�duit les risques

Le bulletin ajoute qu�Internet Explorer a connu de nombreux probl�mes de s�curit� au niveau de ses composants centraux, notamment les scripts Active X, une technologie propri�taire de Microsoft. La s�curit� peut toutefois �tre am�lior�e en d�sactivant certaines fonctionnalit�s d�IE, indique le CERT am�ricain.

�Utiliser un navigateur tiers est une possibilit� parmi d�autres�, explique Art Manion, analyste sp�cialiste de la s�curit� de l'internet au centre de coordination du CERT (CERT-CC), qui coordonne les diff�rents organismes de cette nature, dont l'US-CERT. �Nous ne conseillons pas tel ou tel logiciel. D�un autre c�t�, il serait na�f de dire que cela ne doit pas entrer en ligne de compte dans votre strat�gie de s�curit�.�

Mais opter pour un concurrent d�IE ne suffit pas si l�on continue d�utiliser Windows, note le CERT. Les internautes courent toujours un risque car le code de l�OS est tr�s fortement imbriqu� dans celui du navigateur de Microsoft.

Pour conserver Windows sans IE, Chris Hofmann, directeur de l�ing�nierie � la Mozilla Foundation, qui �dite le navigateur concurrent Mozilla, recommande d�augmenter le niveau de s�curit� par d�faut de Windows XP dans les options internet. Param�tr�es par d�faut sur "s�curit� moyenne", Hofmann pr�conise de les r�gler sur "haute s�curit�". Cela aurait suffi pour se pr�munir de programmes troyens de type Scob, indique-t-il.

Ensuite, mieux vaut ne plus cr�er de sites bas�s sur ActiveX, lance-t-il � l�adresse des d�veloppeurs. Les sites de jeux et de t�l�chargement de photos sont montr�s du doigt. �Nous invitons le public � ne plus utiliser ces technologies propri�taires qui sont sujettes � des failles de s�curit�, indique-t-il. �C�est ActiveX qui a �t� le plus touch�, et, � la lumi�re des derni�res attaques, on constate qu�exposer les utilisateurs et fournir cette technologie pr�sente vraiment des risques. Les sites doivent r�fl�chir � ce qu�ils font pour prot�ger les internautes.�

Je commence � m'amuser comme un petit fou � m'�crier:

LINUX POWAAAAAAA !!!