Sur la plupart des ordinateurs, le dossier de téléchargement par défaut devient rapidement une remise de fichiers anciens, non classés, souvent oubliés après une première ouverture. Une faille, récemment corrigée dans le programme d'installation de Java, montre pourquoi il est important de faire le ménage dans ce dossier. Ainsi, l’avis de sécurité publié vendredi dernier par Oracle recommande aux utilisateurs de supprimer tous les installeurs Java éparpillés sur leurs ordinateurs et d’utiliser de nouveaux installeurs pour les versions 6u113, 7u9, 8u73 et supérieures de Java. Oracle explique en effet que les anciens installeurs Java téléchargent automatiquement un certain nombre de fichiers DLL particuliers présents dans le répertoire après une étape de comparaison.
Pour les installeurs Java téléchargés sur Internet, le répertoire courant est généralement le dossier de téléchargement par défaut de l'ordinateur. Or, si un attaquant parvient à placer une DLL malveillante en utilisant la dénomination appropriée dans le dossier « Téléchargements » d'un ordinateur, ce fichier sera exécuté quand l'utilisateur essayera d'installer Java pour la première fois ou quand il mettra à jour manuellement une installation Java existante en téléchargeant et en exécutant un nouvel installeur. « Cette faille est relativement complexe à exploiter, mais si le pirate est suffisamment habile, il peut prendre la main sur le système de l'utilisateur sans qu’il ne s’en rende compte », a expliqué sur un blog Éric P. Maurice, directeur Software Security Assurance d’Oracle.
Plusieurs installateurs vulnérables
Cette technique d'attaque dite d’implantation de code binaire est connue depuis un certain temps. Ces dernières années, plusieurs installeurs de logiciels étaient vulnérables à cette attaque. « En lançant Process Monitor, on peut savoir ce qui se passe dans le dossier « Téléchargements » quand un installeur est lancé. On peut notamment voir toutes les tentatives faites pour charger divers fichiers DLL », avaient écrit les chercheurs de Acros Security dans un blog, en février 2012. « Ce n’est pas très surprenant. C’est comme ça que travaille la bibliothèque de téléchargement : elle commence par chercher les DLL dans le même dossier EXE. Le plus souvent, cela ne pose pas de problème de sécurité, puisque la plupart des dossiers qui conservent les fichiers EXE sont verrouillés en écriture. Ce qui est aussi le cas, au moins dans une certaine mesure, du dossier « Téléchargements » ».
Certains navigateurs sont configurés pour télécharger automatiquement les fichiers, même s’ils ne les exécutent pas. En outre, le fait de nettoyer la liste des téléchargements dans le navigateur permet uniquement de vider l'historique, mais ne supprime pas les fichiers téléchargés. On peut facilement imaginer qu’un site Web malveillant ou infecté envoie de grosses salves de fichiers DLL spécifiques vers les ordinateurs connectés. Le pirate peut toujours espérer qu’un petit nombre de ces fichiers sera exécuté par les installeurs vulnérables. C’est pour éviter ce genre de mésaventure que les chercheurs conseillent aux utilisateurs de nettoyer régulièrement eux-mêmes leur dossier « Téléchargements ».