Sur la plupart des ordinateurs, le dossier de téléchargement par défaut devient rapidement une remise de fichiers anciens, non classés, souvent oubliés après une première ouverture. Une faille, récemment corrigée dans le programme d'installation de Java, montre pourquoi il est important de faire le ménage dans ce dossier. Ainsi, l’avis de sécurité publié vendredi dernier par Oracle recommande aux utilisateurs de supprimer tous les installeurs Java éparpillés sur leurs ordinateurs et d’utiliser de nouveaux installeurs pour les versions 6u113, 7u9, 8u73 et supérieures de Java. Oracle explique en effet que les anciens installeurs Java téléchargent automatiquement un certain nombre de fichiers DLL particuliers présents dans le répertoire après une étape de comparaison.
Pour les installeurs Java téléchargés sur Internet, le répertoire courant est généralement le dossier de téléchargement par défaut de l'ordinateur. Or, si un attaquant parvient à placer une DLL malveillante en utilisant la dénomination appropriée dans le dossier « Téléchargements » d'un ordinateur, ce fichier sera exécuté quand l'utilisateur essayera d'installer Java pour la première fois ou quand il mettra à jour manuellement une installation Java existante en téléchargeant et en exécutant un nouvel installeur. « Cette faille est relativement complexe à exploiter, mais si le pirate est suffisamment habile, il peut prendre la main sur le système de l'utilisateur sans qu’il ne s’en rende compte », a expliqué sur un blog Éric P. Maurice, directeur Software Security Assurance d’Oracle.
Plusieurs installateurs vulnérables
Cette technique d'attaque dite d’implantation de code binaire est connue depuis un certain temps. Ces dernières années, plusieurs installeurs de logiciels étaient vulnérables à cette attaque. « En lançant Process Monitor, on peut savoir ce qui se passe dans le dossier « Téléchargements » quand un installeur est lancé. On peut notamment voir toutes les tentatives faites pour charger divers fichiers DLL », avaient écrit les chercheurs de Acros Security dans un blog, en février 2012. « Ce n’est pas très surprenant. C’est comme ça que travaille la bibliothèque de téléchargement : elle commence par chercher les DLL dans le même dossier EXE. Le plus souvent, cela ne pose pas de problème de sécurité, puisque la plupart des dossiers qui conservent les fichiers EXE sont verrouillés en écriture. Ce qui est aussi le cas, au moins dans une certaine mesure, du dossier « Téléchargements » ».
Certains navigateurs sont configurés pour télécharger automatiquement les fichiers, même s’ils ne les exécutent pas. En outre, le fait de nettoyer la liste des téléchargements dans le navigateur permet uniquement de vider l'historique, mais ne supprime pas les fichiers téléchargés. On peut facilement imaginer qu’un site Web malveillant ou infecté envoie de grosses salves de fichiers DLL spécifiques vers les ordinateurs connectés. Le pirate peut toujours espérer qu’un petit nombre de ces fichiers sera exécuté par les installeurs vulnérables. C’est pour éviter ce genre de mésaventure que les chercheurs conseillent aux utilisateurs de nettoyer régulièrement eux-mêmes leur dossier « Téléchargements ».
A Visiteur7945
Signaler un abusEntre demander à l'usager de nettoyer et de maintenir correctement son ordinateur, ou prendre la main dans son dos via des mises à jour obligatoires et non désactivables comme windows 10 ou le mac le font, je préfère garder la main sur ma machine.
La véritable hypocrisie, c'est plutôt de vendre des machines avec des systèmes préinstallés, en faisant croire aux gens que ce sera plus facile à utiliser.
En somme, on demande à l'utilisateur final de réparer les erreurs basiques de programmation des développeurs oracle :
Signaler un abusAu lieu de créer un sous-répertoire temporaire nommé aléatoirement, le programme installateur utilise le répertoire Téléchargements !!
Cette désinvolture des développeurs Oracle rappelle les pratiques insouciantes des débuts de la micro-informatique : cela relève d'une certaine incompétence qui revient à se moquer des utilisateurs finaux...