La récente vulnérabilité zero-day dans Internet Explorer a poussé de nombreuses personnes (y compris la société actuelle) à inciter les internautes à envisager de surfer sur le Web avec un navigateur différent jusqu’à ce que Microsoft publie un correctif. Microsoft l’a fait le mois dernier, mais pas avant que des experts qui auraient dû savoir mieux aient commencé à minimiser ces conseils, soulignant que d’autres fabricants de navigateurs ont plus de vulnérabilités et tout autant d’exposition aux failles du jour zéro.
Cet article examine des données concrètes qui montrent pourquoi un tel raisonnement est plus émotionnel que factuel. contrairement à Google Chrome et MozillaFirefox utilisateurs, les utilisateurs d’IE ont été exposés à des attaques actives contre des vulnérabilités critiques non corrigées pendant des mois d’affilée au cours de la dernière année et demie.
Les attaquants ont exploité des failles zero-day dans Internet Explorer pendant au moins 89 jours au cours des 19 derniers mois.
L’argument « tous les navigateurs sont également exposés » était le plus récemment effectué par Trend Microc’est Rik Ferguson. Ferguson affirme qu’il est injuste et irréaliste de s’attendre à ce que les utilisateurs d’IE passent — même brièvement — à l’expérience du Web avec un autre navigateur. Après tout, dit-il, les données montrent que d’autres navigateurs sont également en proie à des failles, et le changement n’offre aucun avantage supplémentaire en matière de sécurité. Pour citer Ferguson :
« Selon ce article de blog, en 2011, Chrome de Google a atteint un niveau record de 275 nouvelles vulnérabilités signalées, le pic actuel d’une tendance à la hausse depuis son jour de sortie. Mozilla Firefox, bien qu’actuellement en baisse par rapport à son sommet de 2009, avait toujours un rapport 97 vulnérabilités. Internet Explorer de Microsoft a connu une tendance à la baisse progressive au cours des cinq dernières années et 2011 n’a vu que 45 nouvelles vulnérabilités, moins que tout autre navigateur à l’exception de Safari d’Apple, qui avait également 45. Bien sûr, les nombres bruts de vulnérabilités n’ont presque aucun sens si l’on ne considère pas la gravité respective, mais là encore, parmi les «trois grands», les statistiques favorisent Internet Explorer. Si les vulnérabilités zero-day doivent également être prises en compte, elles ne changent pas grand-chose à l’équilibre, Google Chrome 6Microsoft Internet Explorer 6 et Mozilla Firefox 4. Bien sûr différentes sources offrir des statistiques complètement différentes, et le simple nombre de vulnérabilités ne constitue pas une mesure de la (in)sécurité relative des navigateurs, en particulier de manière isolée. Cependant, on ne peut ignorer que les vulnérabilités exister dans chaque navigateur.
A y regarder de plus près, on constate que ce bilan ne tient pas la route. D’une part, bien que Ferguson reconnaisse qu’il n’est pas très utile d’essayer d’évaluer la sécurité relative de produits logiciels similaires en comparant simplement les vulnérabilités, il n’offre pas beaucoup plus de perspective. Il se concentre sur les vulnérabilités non corrigées et mises en évidence publiquement, mais il oublie de poser et de répondre à une question cruciale : Comment les fabricants de navigateurs évaluent-ils les vulnérabilités non corrigées qui sont activement exploitées ?
Une partie du problème ici est que de nombreux experts en sécurité classent les vulnérabilités comme « zero-day » tant qu’elles sont à la fois identifiées publiquement et non corrigées. Qu’il y ait des preuves que quelqu’un attaque réellement ces vulnérabilités semble hors de propos pour ce camp. Mais je dirais que l’exploitation active est le qualificatif le plus important d’un véritable zero-day, et que les failles logicielles les plus dignes d’inquiétude et d’action de la part des utilisateurs sont celles qui sont clairement exploitées par les attaquants.
À cette fin, j’ai examiné les vulnérabilités corrigées depuis janvier 2011 par Google, Microsoft et Mozilla, dans le but d’identifier les véritables failles du jour zéro qui ont été identifiées publiquement comme étant exploitées avant que le fournisseur ne publie un correctif logiciel. J’ai également interrogé Mozilla et Google pour savoir si j’avais manqué quelque chose dans mes recherches.
Comme Ferguson l’a mentionné, tous les fabricants de navigateurs avaient des exemples au cours des 19 derniers mois de code d’exploitation fonctionnel ou de preuve de concept disponible pour les failles non corrigées de leurs produits. Cependant, ma propre enquête et les archives publiques montrent que des trois navigateurs, Internet Explorer était le seul à présenter des vulnérabilités critiques non corrigées qui ont été manifestement exploitées par des attaquants avant que les correctifs ne soient disponibles. Selon le propre compte de Microsoft, il y a eu au moins six zero-days activement exploités au cours des 18 derniers mois dans IE. Tous sauf un ont obtenu la cote « critique » la plus grave de Microsoft, laissant les utilisateurs d’IE sous une attaque de type « zero-day » pendant au moins 152 jours depuis le début de 2011.
Si nous ne comptons que les zero-days critiques, il y a eu au moins 89 jours sans chevauchement (environ trois mois) entre le début de 2011 et septembre 2012 au cours desquels les vulnérabilités IE zero-day ont été activement exploitées. Ce nombre est presque certainement prudent, car je n’ai trouvé aucune donnée sur la fenêtre de vulnérabilité pour CVE-2011-0094une faille zero-day critique corrigée dans MS11-018 que Microsoft a déclaré avoir été attaqué avant de publier un correctif pour celui-ci. Cette analyse n’inclut pas non plus CVE-2011-1345une vulnérabilité démontrée lors du concours Pwn2Pwn en 2011.
Pendant cette même période, je n’ai trouvé aucune preuve que des pirates malveillants aient exploité des vulnérabilités divulguées publiquement dans Chrome ou Firefox avant que ces failles ne soient corrigées. Néanmoins, j’ai posé la question aux deux sociétés. Un porte-parole de Google a déclaré que la société n’avait jamais observé de jour zéro de Chrome dans la nature contre l’une de ses versions stables depuis la première sortie de Chrome. La société a noté que bien qu’il y ait eu des jours zéro Flash – et qu’elle livre Flash avec Chrome, aucune de ces failles Flash n’a été unique à Chrome. De plus, selon Google, la plupart des attaques contre Flash ne ciblaient pas explicitement Chrome car les attaquants n’avaient pas de contournement du bac à sable à coupler avec l’exploit Flash.
Un porte-parole de Mozilla a déclaré que le dernier vrai zero-day utilisé par les attaquants pour installer des logiciels malveillants via une vulnérabilité dans Firefox est venu en octobre 2010, par des malfaiteurs qui avaient cousu un exploit pour une faille Firefox non corrigée sur le site Web du prix Nobel de la paix.
Microsoft et d’autres grands éditeurs de logiciels aiment à souligner que la majorité des premières attaques contre les véritables failles du jour zéro sont ciblées et peu diffusées. Bien que ce soit parfois le cas, plus la base d’installation du logiciel vulnérable est grande, plus il est probable que les exploits pour les failles zero-day qu’ils contiennent seront chargés dans des kits d’exploit automatisés qui sont vendus dans le monde des hackers. Microsoft a été relativement rapide pour publier un correctif pour son dernier jour zéro IE (bien qu’il y ait preuve que l’entreprise était au courant de la vulnérabilité bien avant son premier avis public à ce sujet le 17 septembre)le retard de 42 jours de la société dans la correction de CVE-2012-1889 plus tôt cet été était suffisant pour que le code utilisé pour exploiter la faille soit plié dans le kit d’exploitation Blackholede loin l’un des kits d’attaque les plus utilisés aujourd’hui.
Vous trouverez ci-dessous les données que j’ai utilisées pour arriver aux numéros de vulnérabilité d’Internet Explorer ci-dessus :
==
Date de mise à jour : 21 septembre 2012, MS12-063
Défaut: CVE-2012-4969 (ExecCommand Use After Free, Critical)
Identification initiale : 14 septembre 2012
Fenêtre minimale d’attaque active : 8 jours
==
Date de mise à jour : 10 juillet 2012, MS12-043
Défaut: CVE-2012-1889 (Services de base XML, critiques)
Identification initiale : 30 mai 2012
Fenêtre minimale d’attaque active : 42 jours
==
Date de mise à jour : 12 juin 2012, MS12-037
Défaut: CVE-2012-1875 (Même propriété d’ID, critique)
Identification publique initiale : 1 juin 2012
Fenêtre minimale d’attaque active : 12 jours
==
Date de mise à jour : 12 avril 2011, MS11-026
Défaut: CVE-2011-0096 (XSS au format MHTML Mime, Important)
Identification publique initiale : 28 janvier 2011
Fenêtre minimale d’attaque active : 74 jours
==
Date de mise à jour : 12 avril 2011, MS11-018
Défauts: CVE-2011-0094 (Gestion de la mémoire des mises en page, critique)
Identification publique initiale : N/A
Fenêtre minimale d’attaque active : N/A
==
Date de mise à jour : 8 février 2011, MS11-003
Défaut: CVE-2010-3971 (Corruption de la mémoire CSS, critique)
Accusé de réception initial : 20 décembre 2010.
Fenêtre minimale d’attaque active : 51 jours
==
Je me rends compte que le choix du navigateur est souvent une affaire personnelle et que les gens restent émotionnellement et habituellement attachés à naviguer sur le Web d’une certaine manière. Cependant, j’espère que les informations ci-dessus indiquent clairement que changer temporairement de navigateur pour éviter les vrais jours zéro est une approche très sensée et utile pour rester en sécurité en ligne. Bien qu’il soit vrai que tous les logiciels présentent des vulnérabilités, les failles sur lesquelles nous devrions vraiment être motivés pour agir sont celles qui sont activement exploitées.