Vidéo: Fatal Bazooka feat. Yelle "Parle à ma Main" HD (Novembre 2024)
La réputation de Java a de nouveau été mise à mal, après que Facebook ait révélé que des attaquants s'étaient infiltrés dans ses systèmes internes après avoir exploité une vulnérabilité de type «jour zéro».
Comme PCMag.com a rapporté hier après-midi, Facebook a déclaré que ses systèmes avaient été "ciblés par une attaque sophistiquée" en janvier. Certains employés de Facebook, vraisemblablement des développeurs, ont été infectés après avoir visité un site de développeur mobile tiers, a indiqué la société dans un message de sécurité Facebook publié sur le site. Des pirates avaient précédemment compromis le site du développeur et injecté du code malveillant exploitant une faille de sécurité dans le plug-in Java. L’exploit du jour zéro a contourné le sandbox Java pour installer le malware sur les ordinateurs des victimes, a déclaré Facebook.
Facebook a signalé l'exploit à Oracle, qui l'a corrigé le 1 er février. À l'époque, Oracle avait annoncé que le correctif était prévu pour le 19 février, mais avait accéléré la publication car elle était exploitée à l'état sauvage. À ce stade, il est difficile de savoir lequel des 39 (sur 50) bogues Java Runtime Environment corrigés dans ce correctif était celui utilisé dans cet exploit.
Facebook a assuré aux utilisateurs qu'aucune des données de l'utilisateur n'avait été compromise lors de l'attaque, mais n'a pas indiqué si l'une de ses données internes avait été affectée.
Twitter l'autre victime?
Facebook a informé plusieurs autres sociétés qui avaient été touchées par le même attentat et a confié l'enquête aux forces de l'ordre fédérales. Bien que l'entreprise n'ait pas identifié d'autres victimes, le moment de l'attaque coïncide avec la violation de Twitter. Les informations d'identification de l'utilisateur ont été exposées lors de cette attaque. Maintenant que nous connaissons certains détails de l'attaque sur Facebook, l'avertissement crypté de Twitter sur la désactivation des plug-ins de navigateur Java est logique.
Comme le rapportait précédemment SecurityWatch , Bob Lord, directeur de la sécurité de l'information à Twitter, a déclaré: "Nous faisons également écho à la recommandation du département américain de la Sécurité intérieure et aux experts en sécurité qui encouragent les utilisateurs à désactiver Java sur leurs ordinateurs dans leurs navigateurs."
Empiler sur AV pas le point
Facebook a noté que les ordinateurs portables compromis "étaient entièrement corrigés et exécutaient un logiciel antivirus à jour." Certains experts en sécurité se sont emparés du fait de réitérer leurs arguments selon lesquels l’antivirus était un "échec technologique". Quelques-uns ont déclaré que Facebook devrait divulguer le nom du fournisseur d'antivirus afin que les autres clients sachent s'ils sont à risque.
L’histoire sur laquelle nous devons nous concentrer n’est pas de savoir si un antivirus aurait dû détecter l’exploit Java, mais plutôt que Facebook a utilisé avec succès sa défense en couches pour détecter et arrêter l’attaque. L’équipe de sécurité de la société surveille en permanence l’infrastructure pour détecter les attaques et a identifié le domaine suspect dans les journaux DNS de l’entreprise, a déclaré Facebook. L’équipe a retrouvé un ordinateur portable d’employé, trouvé un fichier malveillant après un examen médico-légal et signalé que plusieurs autres ordinateurs portables compromis portaient le même fichier.
"Nos félicitations à Facebook pour leur réaction rapide à cette attaque, ils l'ont étouffée dans l'œuf", a déclaré Andrew Storms, directeur des opérations de sécurité à nCircle, à SecurityWatch .
En plus de la sécurité en couches, Facebook effectue régulièrement des simulations et des exercices pour tester les défenses et travailler avec les intervenants. Ars Technica a récemment présenté un compte-rendu fascinant d'un tel exercice sur Facebook, où les équipes de sécurité pensaient avoir affaire à un exploit de type «jour zéro» et à un code de porte dérobée. Ce type de simulation est utilisé dans plusieurs organisations, des secteurs public et privé.
Pas si facile de se débarrasser de Java
Comme SecurityWatch l’a noté plus tôt ce mois-ci, il est facile de conseiller aux utilisateurs de désactiver Java dans leurs navigateurs, mais de nombreux outils de gestion reposent toujours sur le plug-in Java du navigateur. Bien que je ne sois pas au courant d'outils de développement nécessitant Java dans le navigateur, de nombreux autres outils professionnels prédominent. L'autre jour, j'ai eu du mal à faire fonctionner WebEx sur Chrome (Java désactivé) et je devais me rappeler de passer à Internet Explorer (activé par Java).
Les pirates deviennent sournois, compromettent des sites légitimes et attaquent les visiteurs de ces sites. Laissez votre logiciel et votre système d'exploitation patchés et exécutez un logiciel de sécurité à jour. Réduisez votre surface d’attaque là où vous le pouvez, mais surtout, soyez conscient de ce qui se passe sur votre réseau.
