Articles par Mathieu Lafon

La plupart des navigateurs sont impactés par des problèmes de sécurité en ce début de mois de Juillet.

• Après la vulnérabilité dans le composant Video Control qui n’est toujours pas corrigée par Microsoft, c’est au tour du composant Office Web Components Control d’être activement exploité sur Internet pour prendre le contrôle d’Internet Explorer… [Microsoft Security Advisory 973472]
• Mozilla a publié très rapidement une version 3.5.1 de Firefox pour corriger une vulnérabilité critique dans le moteur Javascript pouvant permettre l’execution de code. Depuis, une nouvelle vulnérabilité a été découverte mais Mozilla se défend en indiquant qu’elle n’est pas exploitable, il s’agit juste d’une vulnérabilité DoS…
• Google prend les devants en sortant une version 2.0.172.37 de Google Chrome qui corrige deux vulnérabilités critiques découvertes en interne (et donc pas encore publiques). Sur les deux vulnérabilités, la technologie de sandbox mise en avant par Google ne permet de minimiser l’impact que d’une seule…
• Apple a corrigé deux vulnérabilités critiques dans Safari 4.0.2 : possibilité de cross-site scripting, déni de service et execution de code…

Une nouvelle vulnérabilité dans le composant ActiveX Video Control de Microsoft met à nouveau la pression sur le navigateur. En effet, des milliers de sites web (compromis pour la plupart) sont déjà utilisés pour exploiter cette faille et prendre le contrôle de la machine.

Du côté des correctifs, Microsoft a publié un bulletin de sécurité et une analyse sur son blog sécurité mais pas encore de version corrective. Le seul moyen de contournement étant d’utiliser le fameux Kill-bit pour désactiver l’ActiveX (ou bien sûr de ne pas utiliser IE pour surfer sur Internet…). Microsoft mérite tout de même un carton rouge car le numéro de CVE (CVE-2008-0015) et sa date d’enregistement montre qu’ils avaient connaissance de la vulnérabilité depuis 18 mois.

Du côté de commonIT, notre solution de navigateur virtualisé Virtual Browser permet de protéger, par construction, le poste de l’utilisateur de ce genre d’attaque. En effet, même en utilisant le moteur de rendu d’Internet Explorer, l’exploitation de cette vulnérabilité ne permettra la prise de contrôle, ni du poste de l’utilisateur, ni du réseau de l’entreprise, ni même des applications web de confiance. Tout code malveillant téléchargé sera détruit automatiquement lors de la fermeture de la fenêtre. Stress-free Internet ?

Le très bon démarrage de commonIT et de sa version 1.0 nous conduit à planifier une road map ambitieuse pour les mois à venir. Pour nous aider, nous recherchons les meilleurs profils capables d’allier des compétences techniques de très haut niveau avec une capacité d’adaptation aux besoins de réactivité et de performance d’une startup.

Que vous soyez ingénieurs expérimentés, jeunes diplomés ou étudiants en recherche de stage, si le projet vous intéresse et que vous avez d’excellentes compétences dans les domaines suivants : Linux, OS X, Windows, iPhone, Windows Mobile, C/C++, Python, vous pouvez nous envoyer vos cv à info@commonit.com.

On pourrait croire que les fondations sur lesquelles sont basées la sécurité sur Internet sont avant tout techniques. Il n’en est rien, la sécurité sur Internet est principalement une question de confiance entre différents éléments :

• La confiance qu’a un utilisateur envers son navigateur et sa capacité à lui donner des informations pertinentes et à le protéger ;
• La confiance entre un navigateur et sa liste d’autorités de certification (CA) de confiance ;
• La confiance que l’industrie et les éditeurs portent aux différentes autorités de certifications (CA) sur leur capacité à authentifier les détenteurs de certificats, à vérifier leurs informations et à tout mettre en oeuvre pour techniquement protéger les mécanismes sous-jacents.

Si un seul élément de la chaîne de confiance est défaillant, c’est l’ensemble de la sécurité qui est compromise comme cela a été le cas récemment :

• Eddy Nigg, fondateur de StartCom, a révélé que certstar, un revendeur pour l’authorité de certification Comodo, ne vérifiait aucune information avant de signer les certificats SSL et utilisait des techniques douteuses afin de récupérer de nouveaux clients. Eddy a pu facilement obtenir un certificat pour mozilla.com alors qu’il est nullement lié à l’organisation. Comodo a immédiatement réagi après la divulgation en révoquant le certificat et en créant une enquête interne sur certstar. De son côté, Mozilla veut avoir plus d’assurance de la part de Comodo sous peine de supprimer la CA de la liste des autorités de confiance.
• Un groupe de chercheurs a présenté à la 25ème conférence CCC (Chaos Communication Congress) leurs travaux sur la possibilité de créer un certificat de CA reconnu de confiance par les différents navigateurs et permettant donc de générer des certificats pour n’importe quel site web sécurisé. Pour cela, ils exploitent les faiblesses connues de l’algorithme MD5 encore utilisé (à tort) par certaines autorités de confiance. Avec un bon timing et l’aide d’un cluster de 200 PS3, ils ont réussi a générer un certificat de CA ayant la même empreinte qu’un certificat qu’ils ont fait créer par RapidSSL. Avec un tel certificat en poche, il est possible de créer des attaques de type Man in the middle contre toutes les connexions SSL. Verisign a immédiatement arrêté la signature des certificats en MD5 pour empêcher une éventuelle reproduction.

Difficile ensuite pour l’utilisateur d’être sur à 100% qu’il navigue bien sur un site de confiance malgré tous les indicateurs offerts par son navigateur. Un navigateur à jour et un contrôle systématique des certificats (via OCSP) reste la meilleure méthode pour surfer sereinement. Dans tous les cas, il faut réfléchir à deux fois avant de contourner les messages d’avertissement car les attaques MITM basiques existent bel et bien.

Il y a quelques mois, Window Snyder (responsable sécurité pour Mozilla Corporation) déclarait dans une interview pour Computerworld qu’il était impossible de construire un navigateur sans aucune faille de sécurité. Il suffit de parcourir le Browser Security Handbook publié il y a quelques jours par Google pour s’apercevoir que la tâche n’est effectivement pas simple. Si on rajoute à cela la nécessité de supporter de plus en plus de format de fichiers, les sources de vulnérabilités potentielles sont nombreuses.

« It’s impossible to build a perfectly secure browser » — Window Snyder

Microsoft est d’ailleurs en train de s’en rendre compte avec une vulnérabilité critique dans IE (dont websense a fait une excellente analyse) qui commence à être activement exploitée afin d’infecter les machines Windows. Habilement sortie en même temps que le patch Tuesday de Décembre, la vulnérabilité risque de faire beaucoup de dégâts avant même que Microsoft ne déploie un correctif, d’autant que les solutions de contournement ne sont pas simples à mettre en œuvre. Pour faire face à cela, Microsoft devrait sortir un correctif en dehors de son cycle habituel dans la journée.

Tout cela met en évidence le fait qu’il est nécessaire de pouvoir restreindre au maximum les conséquences d’une exploitation qui finira fatalement par arriver. Une des solutions est d’isoler le navigateur dans un environnement virtualisé afin d’éviter la prise de controle du poste par un virus.

C’est à mon tour de vous présenter Daniel avec qui j’ai travaillé pendant de longues années.

Daniel Fages :

Daniel est ingénieur INSA de Lyon comme David et moi et a effectué l’ensemble de sa carrière dans le domaine de la sécurité. Techniquement, nous sommes complémentaires : Daniel est capable d’inventer, de définir et d’expérimenter des solutions techniques innovantes et je suis capable de stabiliser et de rendre production-ready cette créativité débordante. Il est visionnaire et sait dans quel sens la technologie et les besoins vont évoluer.

Après être entré en 1997 chez IBM en tant que consultant dans les domaines de la sécurité et d’Internet, il se lance en 1999 dans le développement d’une technologie innovante de firewall applicatif conjuguant sécurité et performance. C’est ainsi qu’il a créé la société Arkoon avec 3 autres associés et a mis au point la technologie brevetée FAST (Fast Applicative Shield Technology), qui constitue aujourd’hui le coeur de la gamme des appliances UTM FAST360.

Au sein d’Arkoon, il sera directeur technique, CTO et membre du comité de direction de l’entreprise de 1999 à 2008. Daniel est l’un des principaux artisans du succès reconnu d’Arkoon et de son statut de leader français de l’édition de logiciels de sécurité pour les entreprises.

Le mois de Novembre 2008 aura vu son lot de vulnérabilités critiques corrigées dans la plupart des navigateurs du marché. Parmi les plus impactés, on retrouve Safari et Firefox :

• La version 3.2 de Safari totalise pas moins de 11 vulnérabilités pouvant mener à de l’exécution de code, du déni de service ou de la divulgation d’information. Un filtre anti-phishing et le support des certificats EV a également été ajouté en réponse aux critiques de PayPal.
• Firefox 3.0.4, pour sa part, corrige 9 vulnérabilités dont 4 jugées critiques : dénis de service, exécution de code, élévation de privilèges et vol d’information sont au rendez-vous. Pour les utilisateurs de Firefox 2, la version 2.0.0.18 reprend ces correctifs.

Les produits des autres éditeurs sont moins impactés mais on retrouve des versions correctives de la part de :

• Microsoft publie un correctif de sécurité critique (MS08-069) qui corrige des vulnérabilités dans Microsoft XML Core Services : exécution de code à distance et divulgation d’information. A noter que la mise à jour permet désormais de protéger les cookies HttpOnly d’une lecture par un objet XMLHTTPRequest, une protection de plus contre les attaques XSS.
• Google Chrome corrige une vulnérabilité pouvant permettre l’envoi de fichiers à l’extérieur. A noter que la correction est pour l’instant uniquement disponible sur la version pour les developpeurs.
• Opera sort la version 9.62 qui corrige une exécution à distance de code.

Après tout cela, si vous souhaitez en savoir plus sur la virtualisation du navigateur et le cloisonnement des sessions : www.commonit.com.

Lorsque vous naviguez sur Internet, votre navigateur va automatiquement ou sur votre demande aller récupérer des pages web, photos ou vidéos aux quatre coins du monde. C’est ce qui a fait la force d’Internet et que les sites Web 2.0 utilisent à outrance pour offrir la meilleur expérience utilisateur possible.

A côté de cela, on peut légitimement se demander si le navigateur n’est pas un peu trop crédule dans cette course au liens. Si un site Chinois référence des images présentes sur votre Intranet ou charge une partie du site de votre banque dans sa page, cela ne génera nullement votre navigateur. Et vous ?

Dans le jeu du chat et de la souris qui oppose les pirates et chercheurs en sécurité aux développeurs et mécanismes de protection, l’avantage est actuellement dans le camp du chat. Alors que le Web n’a jamais été aussi développé et utilisé à des fins commerciales, de nombreux problèmes de sécurité noircissent toujours le tableau :

• XSS (Cross-Site Scripting) : Une vulnérabilité dans un site web permettant de faire executer du code externe en contournant la protection de ‘same origin policy‘. Peut servir à voler les cookies de session d’un utilisateur.
• CSRF (Cross-Site Request Forgery) : Un manque de contrôle dans un site web pouvant être utilisé pour faire executer des actions (envoi d’email, modification de mot de passe, …) par un utilisateur à son insus. Il y a quelques semaines, une étude a révélé que certains sites majeurs comportaient ce genre de vulnérabilités. Le site de la banque INGDirect pouvait en particulier être utilisé pour réaliser des transferts d’argent…
• Clickjacking : Technique (récente) permettant de faire charger un site authentifié en arrière plan et de faire cliquer l’utilisateur afin de lui faire exécuter des actions sous son nom et à son insus. Une démo est présente ici.
• Intranet scanning : Utilisation de Javascript (ou non) afin de scanner, d’identifier (et éventuellement d’intéragir avec) un ensemble de machines situés sur le réseau interne.
• DNS rebinding : Exploitation du protocole DNS permettant de contourner la protection de ‘same origin policy‘ des navigateurs afin de faire executer du code ayant accès à un site légitime.

Bien entendu, il est souvent recommandé de se connecter à un site contenant des informations sensibles (type banque) que depuis un navigateur sans aucun autre site ouvert (et de préférence venant d’être démarré). Mais qui relance son navigateur avant de se connecter à sa banque ? Qui ne navigue jamais sur Internet avec un onglet sur son Intranet ou son webmail ?

C’est dans ce contexte que je me suis longtemps interessé à la possibilité de cloisonner les sessions de navigation par niveau de confiance : Il est normal que mon Intranet référence un lien vers Internet, mais il n’est pas normal qu’un site quelconque référence un lien vers mon Intranet. Dans une vie (plus ou moins) antérieure, j’ai étudié avec succès ce type de filtrage au niveau périmétrique mais HTTPS et Javascript permettent de le contourner. La seule possibilité pour le faire de manière efficace est de le faire directement dans le navigateur.

En co-fondant commonIT, j’ai immédiatement milité pour placer le cloisonnement de sessions au coeur du produit VirtualBrowser. Avec la virtualisation du navigateur, le cloisonnement de sessions et la mobilité, Virtual Browser offre une solution efficace et innovante de navigation sécurisée.