Journal Des virus multiplateformes grâce à Java ?

Posté par . Licence CC by-sa
2
11
juil.
2012

Salut Nal ! 

Aujourd'hui, je commence par la fin :

Il n'est pas surprenant que ce soit Java qui soit utilisé : la plateforme a plein de trous de sécurité et est répandue sur toutes les plateformes.

Sans entrer dans les détails, le virus est une applet java qui, une fois installée avec une belle erreur de signature, détecte votre système d'exploitation et installe le malware ad-hoc.

(De là à dire qu'on a été vraiment chercher les ennuis avec l'applet java de vote par Internet lors des législatives pour les étrangers --> [ ])

Plus d'infos sur Zdnet, et sûrement ailleurs.

  • # Applet java

    Posté par (page perso) . Évalué à 10.

    Y'a encore des gens qui utilisent des applets java ?
    Pour de vrai ?

    • [^] # Re: Applet java

      Posté par (page perso) . Évalué à 4.

      Oui, il y a encore pas mal d'applets Java utiles surtout pour les {net|sys}admin: ikvm, gui de gestion switch, routeur, onduleur, multiprise, etc.

      • [^] # Re: Applet java

        Posté par . Évalué à 4.

        OK, mais chaque fois qu'il y a une applet java, il y a un vrai programme java derrière. Les applets c'est juste un moyen de les télécharger et des les exécuter.

        On peut se passer de la machinerie applet, il suffit d'accepter que ça va pas se lancer tout seul en cliquant dans une page web.

        • [^] # Re: Applet java

          Posté par (page perso) . Évalué à 6.

          Les serveurs peuvent fournir des paramètres (une id de session par exemple) aux applets.
          Si tu vire le mécanisme applet, tu aura un certain nombre d'applications écrites dans ce style qui ne marcheront plus.

        • [^] # Re: Applet java

          Posté par (page perso) . Évalué à 3.

          Java Web Start?

          http://devnewton.bci.im

        • [^] # Re: Applet java

          Posté par (page perso) . Évalué à 2.

          Les applets c'est juste un moyen de les télécharger et des les exécuter.

          D'ailleurs, ya pas moyen de faire ca directement dans le code javascript de la page ? Vu que de toutes facons personne ne le lit, ca changera pas grand chose.

          • [^] # Re: Applet java

            Posté par . Évalué à 5.

            Non, vu qu'il faut exécuter une commande externe : java -jar machintruc
            Javascript est aussi sandboxé et ne permet pas ce genre de truc, heureusement (sauf bien sûr faille).

    • [^] # Re: Applet java

      Posté par . Évalué à 2.

      Il me semble que des trucs comme la déclaration de la PAC se fait par une applet Java…

    • [^] # Re: Applet java

      Posté par . Évalué à 2. Dernière modification le 11/07/12 à 13:39.

      Il reste même des gens qui utilisent des ActiveX pour leurs caméras de vidéosurveillance !
      Avec un peu de chance, une prochaine mise à jour utilisera du Flash…

    • [^] # Re: Applet java

      Posté par (page perso) . Évalué à 5. Dernière modification le 11/07/12 à 15:11.

      Y'a encore des gens qui utilisent des applets java ?

      Euh, oui, moi. J’ai utilisé JMol, une applet de visualisation de molécules, pour faire un support pédagogique pour un TD de biochimie. C’est assez pratique, ça s’intégre très facilement dans une page HTML et les étudiants peuvent s’en servir immédiatement, ils n’ont besoin que d’un navigateur supportant Java.

      Je ne prétends pas qu’une applet Java soit le meilleur choix, mais ça représente déjà à mon goût un grand bond en avant par rapport à la version précédente du support de ce TD, qui reposait sur un plugin très spécifique (donc installé par défaut nulle part), plus développé depuis huit ans et qui n’était disponible que pour Internet Explorer 6…

      J’imagine que l’approche « moderne » serait de faire ça en HTML5 + Javascript, mais je ne suis pas convaincu… Il existe des projets pour ça, comme CanvasMol, mais franchement les performances sont lamentables par rapport à JMol.

      • [^] # Re: Applet java

        Posté par . Évalué à 2.

        Je pense que ça fonctionne aussi en programme java ordinaire, sans webstart. Donc pas besoin du plugin navigateur.

        • [^] # Re: Applet java

          Posté par (page perso) . Évalué à 5.

          Donc tu propose de remplacer un contexte d'execution java sandboxé par un contexte d'execution ayant tous les droits de l'utilisateur ?

          • [^] # Re: Applet java

            Posté par (page perso) . Évalué à 0.

            Ce sandboxing, il est possible que dans le navigateur ?

            • [^] # Re: Applet java

              Posté par . Évalué à 4.

              Non c'est juste qu'en principe tu ne sandbox pas toutes tes applications Java. Donc il faudrait un mécanisme pour demander à l'utilisateur s'il veut sandboxer ou pas l'appli. Restera plus qu'à expliquer aux utilisateurs ce qu'est le sandboxing.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Applet java

                Posté par . Évalué à 4.

                Ce qui est rigolo en Java c'est que dès qu'un applet est signé et que tu acceptes la signature, il tourne sans sandbox. C'est très rigolo le sentiment de sécurité que ca donne alors que c'est exactement l'inverse !

                Si ce genre d'utilisation de Java retrouve de l'importance je compterais pas trop sur le sandboxing aussi. Y'a déjà eu pas mal de proof of concept de bypass du security manager en exploitant des faiblesses du système de typage.

                • [^] # Re: Applet java

                  Posté par . Évalué à 3.

                  Ce qui est rigolo en Java c'est que dès qu'un applet est signé et que tu acceptes la signature, il tourne sans sandbox.

                  Pour moi c'est plus un problème de certificat qu'autre chose. Je vois pas pourquoi on ferrait confiance en quelques autorités de certifications qui sont censées savoir pour nous qui sont les gentils.

                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Applet java

                    Posté par . Évalué à 1.

                    Non le problème c'est que dès qu'un mec signe son appli la sandbox dégage. Y'a aucune raison que les deux features soient liées.

                    Dans le même genre de connerie débile y'a le fait d'avoir un security manager qui empeche d'appeler des fonctions Java depuis un XSLT depuis JAXP 1.4. Mais au moins la ca fait juste chier les devs.

                  • [^] # Re: Applet java

                    Posté par . Évalué à 2.

                    Un certificat ne protège que des applications frauduleuses, pas des potentielles failles découvertes après signature des applications légitimes.

                    Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

                    • [^] # Re: Applet java

                      Posté par . Évalué à 4.

                      Oui mais justement, ce que je voulais dire c'est juste qu'aujourd'hui, pas uniquement dans le monde Java. On se sens protégé quand quelque chose est certifié alors qu'il n'est là que pour assurer (ou non) de la confiance.

                      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Applet java

                Posté par . Évalué à 1.

                Java Web Start est sandboxé par défaut. C'est pareil que pour une applet, il faut que le code soit signé pour pouvoir supprimer les limitations de la sandbox (et l'utilisateur doit l'accepter, bien sûr)

          • [^] # Re: Applet java

            Posté par . Évalué à 1.

            Non, je propose de faire disparaitre définitivement ce plugin qui n'a absolument pas besoin d'être installé dans les navigateurs de tout le monde, sans perdre la capacité d'exécuter aucun des programmes.

            Le plugin java n'offre absolument aucune protection contre les malwares. Une applet signée, je t'en fais quand tu veux, et de toute façon, les gens sont dressés à valider tout ce que leur demande leur navigateur (par les alertes de sécurité firefox, mais aussi windows etc.).

            On remplacer une exécution automatique de tout et n'importe quoi par une action volontaire. Ben oui, faut le lancer le programme.

            Donc effectivement, hors de la sandbox, le programme a tous les droits (du moins ceux de son utilisateur), mais c'est le cas pour tout autre programme qu'il a récupéré dans une chaine de mail ou sur warez.com. D'ailleurs une applet java sort de la sandbox dès qu'elle est signée…

            • [^] # Re: Applet java

              Posté par . Évalué à 2.

              Bonne idée, adoptée ! Ça fait un bonne année maintenant que j'ai viré flash. Je me souviens qu'a l'époque c'était régulièrement qu'un page merdait parce que "you need to install adobe flash player©". Un an plus tard, c'est devenu très rare. Même pour les vidéos, 60% du temps, ça ne pose pas de problème. Puis si ça vaut vraiment le coup, clive permet de DL le truc.

              Bref. Pour un internet civilisé !

              Please do not feed the trolls

              • [^] # Re: Applet java

                Posté par (page perso) . Évalué à 2.

                Ce n’est pas tant la seule présence de Flash ou d’applets Java qui pose problème, c’est le fait que des sites exigent Flash ou Java sans rien prévoir pour le cas où Flash ou Java ne seraient pas disponibles.

                Je n’aime pas particulièrement qu’un site utilise Flash, mais je ne trouve rien à y redire si le principe de graceful degradation est respecté.

                Le site dont je parlais plus haut, qui sert de support pédagogique à un TD de biochimie, nécessite Java et Javascript pour manipuler des structures chimiques, mais si Java n’est pas disponible ou si l’exécution de Javascript est désactivé, l’utilisateur a la possibilité de télécharger les fichiers de structure sur son ordinateur et d’utiliser le programme de visualisation de son choix (comme la version standalone de JMol, par exemple) pour les ouvrir en local. Même un utilisateur de Lynx pourrait utiliser ce site sans rien rater de son contenu.

      • [^] # Re: Applet java

        Posté par . Évalué à 4.

        Pour ce genre de problèmes, le viagra fait de merveilles. À ce qu’il paraît, bien sûr.

        Depending on the time of day, the French go either way.

  • # Applet

    Posté par . Évalué à 5.

    Le truc commence par un message "Pour installer ce virus, cliquez sur OK". Enfin pas tout à fait, mais presque, il doit (j'imagine) afficher un message d'erreur de certificat, l'utilisateur doit passer outre pour continuer (le plugin java n'autorise pas les opérations hors sandbox si l'applet n'est pas signée).

    Bref, de toute façon, le plugin java ne devrait plus être installé par défaut, c'était à la mode il y a 5-10 ans, il n'y a quasiment plus rien qui l'utilise encore. A mon avis, c'est pareil pour flash, mais je suis bien obligé de le reconnaitre, certains trucs utiles en font usage (mais pas pour moi).

    Reste effectivement cette histoire de déclaration d'impôts et autres choses de ce genre. De mon côté, je déclare mes impôts sur papier…

    PS : c'est pas "grâce à Java" mais grâce à jnlp, le truc qui permet d'exécuter de façon transparente des programmes. On peut écrire des virus multiplateformes dans n'importe quel langage multiplateforme, c'est juste compliqué de les faire exécuter par la cible.

    • [^] # Re: Applet

      Posté par . Évalué à 3.

      pour la déclaration d'impôts, il n'y a plus besoin de certificats et il n'y a pas d'applet java non plus. Ils se sont vite rendus compte que la gestion d'une PKI pour un système ouvert, c'est juste la galère !

    • [^] # Re: Applet

      Posté par . Évalué à 4.

      Bref, de toute façon, le plugin java ne devrait plus être installé par défaut, c'était à la mode il y a 5-10 ans, il n'y a quasiment plus rien qui l'utilise encore.

      Faut voir, je connais des logiciels pro (relativement incontournables) à destination du secteur public qui l'utilisent encore. Et qui s'offrent le luxe d'exiger une version précise (et obsolète).

      • [^] # Re: Applet

        Posté par . Évalué à 1.

        Et qui s'offrent le luxe d'exiger une version précise (et obsolète)

        Ça c'est parce que le format jnlp permet trop facilement de définir une dépendance sur une version de java (tag j2se, attribut version, toutes les docs et tous les tutos doivent le montrer) et que le stagiaire qui a écrit le programme a pas pensé à virer la ligne qu'il a copié-collée. Ou à mettre un + à la fin (pour dire "supérieur à").

        Bon c'est vrai qu'on peut pas tester toutes les versions et que ça aide pas qu'on puisse pas définir un intervalle de versions ou un truc du genre 1.6.*.

        Et par défaut, le plugin (au moins pour firefox) refuse de se lancer si la version du JRE est trop ancienne.

    • [^] # Re: Applet

      Posté par . Évalué à 5.

      "Bref, de toute façon, le plugin java ne devrait plus être installé par défaut, c'était à la mode il y a 5-10 ans, il n'y a quasiment plus rien qui l'utilise encore."

      http://www.walter-fendt.de/ph14f/

      Ce n'est plus "à la mode", donc ça doit dégager … Utiliser son cerveau correctement est-il toujours "à la mode" ?

  • # Extrapolations

    Posté par . Évalué à 7.

    Il n'est pas surprenant que ce soit Java qui soit utilisé : la plateforme a plein de trous de sécurité et est répandue sur toutes les plateformes.

    Ou tu vois que le trojan exploite une faille de securite de java ? L'article ne dit pas ca en tout cas.

    Apparemment java est juste utilise pour detecter la plateforme.

    L'article manque cruellement de precisions mais si c'est juste ca, ca pourrait etre fait avec un bout de javascript qui telecharge le .exe / .bin et demande a l'utilisateur de bien vouloir le lancer.

  • # Quelle horreur

    Posté par . Évalué à -10.

    Installer 150Mo de machine virtuelle java pour faire tourner une application de 500KO qui va bouffer 250Mo de mémoire, ce sont les joies de java. Et avec les failles de sécurité en prime, car faire tourner un logiciel dans un navigateur web c'est une hérésie. Je dirais même que c'est un "a-plaie java". Je croyais que ça avait été banni du web car cela fait des années que je n'utilise plus le plugin.

    • [^] # Re: Quelle horreur

      Posté par (page perso) . Évalué à 10.

      Je ne vois pas bien la différence¹ avec les grosses applications en JavaScript.

      ¹ : je parle du principe de faire tourner un logiciel dans un navigateur web, sinon, je la vois bien la différence.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Multiplateforme ?

    Posté par . Évalué à 3.

    J'ai plutôt l'impression que ça ne tourne que sous Java, soit une seule plateforme.

    Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.