Après avoir analysé le code source utilisé pour attaquer des entreprises américaines, dont Google, McAfee a identifié une vulnérabilité non corrigée d’Internet Explorer. Microsoft a confirmé l’information. Toutes les versions d’IE et de Windows sont affectées.
Cette semaine, Google publiait un billet sur son blog pour annoncer avoir été la cible d’attaques informatiques. Le géant du Web n’est toutefois pas la seule victime de ces piratages imputés à des pirates chinois. En effet, une trentaine de firmes américaines seraient elles aussi concernées.
Plusieurs experts en sécurité se sont déjà penchés sur ces attaques et avancent des hypothèses, dont notamment, comme iDefense et F-Secure, celle de l’exploitation d’une faille critique dans Adobe Acrobat. Après analyse de code, McAfee avance une autre hypothèse, confirmée par Microsoft : l’exploitation d’une vulnérabilité inconnue d’Internet Explorer.
La faille d’IE est un des vecteurs des attaques selon Microsoft
Selon McAfee, cette campagne de cyber-attaques, qui aurait été baptisée opération Aurora par ses auteurs, s’est appuyée sur une faille non documentée dans le navigateur de Microsoft. Pour l’exploiter à distance, les pirates n’avaient qu’à envoyer des emails ou des messages instantanés (ciblés) contenant un lien vers un site Web.
L’ouverture de ce lien provoque alors le téléchargement sur l’ordinateur d’une porte dérobée permettant ensuite aux pirates d’installer d’autres programmes malveillants et surtout de prendre le contrôle de la machine.
Selon McAfee, ces attaques présentent un fort niveau de sophistication, utilisant notamment des techniques d’offuscation et de chiffrement pour empêcher toute détection par des outils de protection.
Des techniques d’attaques sophistiquées d’après McAfee
L’hypothèse de McAfee a été confirmée par Microsoft qui explique que la faille dans Internet Explorer est bien l’un des vecteurs utilisés par les pirates pour attaquer Google et d’autres entreprises.
Dans un bulletin d’alerte publié le 14 janvier, Microsoft précise que la vulnérabilité concerne toutes les versions d’Internet Explorer (6, 7 et 8), et affecte Windows 2000, XP, Vista, Server 2003, Server 2008, Server 2008 R2 et même Windows 7.
Dans l’attente d’un correctif, Microsoft recommande aux utilisateurs de configurer Internet Explorer en niveau de protection haut et d’activer la fonction DEP (Data Execution Prevention). Cette dernière est paramétrée par défaut dans IE8, mais doit être en revanche activée manuellement dans les versions antérieures du navigateur.
.
Christophe Auffray