Nuisible mais en même temps utile
lundi 15 mai 2017
La confrontation entre les chercheurs qui prétendent détecter des bogues critiques et les sociétés de développeurs affirmant que les faits décrits par les chercheurs n’en sont pas reste fréquente. " It’s not a bug, it’s a feature! " - affirment les développeurs dans de nombreux cas.
Pour information
Feature (en anglais -. caractéristique, propriété) est une fonctionnalité non décrite, mais disponible dans une application ou un périphérique. C'est une particularité du fonctionnement qui n'a pas d'impact sur les fonctions principales décrites dans la documentation.
En règle générale, les caractéristiques dites " features " sont le résultat d'un manque d'étude concernant le comportement du logiciel dans différentes situations et en fonction de l'activité de l'utilisateur.
Bug est un écart par rapport à la fonctionnalité décrite ou supposée. Par exemple, si le programme fonctionne de manière imprévue ou qu'il effectue des actions pour lesquelles il n'a pas été conçu..
Les bugs surviennent également à la suite d’erreurs commises lors du développement ou lors des tests, non exhaustifs, et qui n’ont pas permis de vérifier toutes les situations possibles ni de révéler des erreurs dans les bibliothèques etc.
Les bugs (et les vulnérabilités comme une catégorie des bugs) existent, sans doute, dans tous les programmes, sauf " Hello word ! ", mais leur gravité varie. Le problème est que souvent le bug ne se manifeste pas tout seul. Par exemple, pour injecter un exploit, il faudrait obtenir un accès total à l'ordinateur avec les privilèges administrateur. Mais dans ce cas (si l’attaquant a obtenu ces droits), pourquoi utiliserait-il un exploit alors qu’il peut faire ce qu’il veut " à la main " ?
C’est l’une des raisons pour laquelle certains bugs ne sont pas corrigés par les éditeurs : leur apparition est très peu probable dans les conditions réelles. Mais tout peut arriver...
Prenons un exemple important :
Google a refusé de corriger un bug lié au paramètre « continue » (« continue » parameter) sur la page d'authentification des comptes Google (https://accounts.google.com/ServiceLogin?service=mail). De plus, la société a déclaré qu’elle ne considère pas ce bogue comme une vulnérabilité, explique le chercheur en sécurité Aidan Woods, qui a signalé l'erreur détectée et a reçu cette réponse.
L’ajout de " continue=[link] " à l’URL de la page de connexion permet aux utilisateur d’être redirigés vers le service Google qu'ils ont l'intention d'utiliser.
Pour éviter les liens de phishing, Google a restreint l’utilisation de ce paramètre par les serveurs au sein du domaine google.com. Ainsi, la redirection peut se produire, par exemple, sur drive.google.com ou docs.google.com mais elle est impossible sur example.com. Aidan Woods a trouvé un moyen de contourner cette restriction. Le bogue, selon Woods, consiste dans le fait que Google ne vérifie par la sécurité du lien indiqué après le paramètre amp, et que n'importe quel lien peut être utilisé pour rediriger vers n'importe quel serveur dans le monde (sinon, la technologie n'a pas de sens).
Il est à noter que dans le blog Google Webmasters, les représentants de la société, en 2009, ont écritqu'ils ne considèrent pas la redirection ouverte du site Google.com comme une vulnérabilité.
http://www.cnews.ru/news/top/2016-08-31_google_otkazalas_ustranyat_uyazvimost_na_stranitse
Est-ce une feature ? Oui, c'est une feature. Est-ce un bogue ? C'est la question. La technologie a été initialement conçue pour faciliter la transition entre les ressources, elle pouvait également être utilisée pour naviguer entre des ressources partenaires. Pour mettre en place des restrictions, la technologie devra être modifiée et même si cela n’est peut-être pas très compliqué, cela peut engendrer de nouveaux bogues. Par exemple, dans le cas où une base de ressources internes est utilisée, il existe la possibilité de leur substitution.
Effectivement, le problème décrit ci-dessus donne une opportunité aux phishers, mais pour se protéger contre cette vulnérabilité, il suffit de ne pas oublier un bon vieux conseil : ne pas ouvrir les liens dans les messages suspects. Et si vous cliquez dessus, aucun effort de Google ne vous aidera.
Le projet Lumières sur la sécurité recommande
Si quelqu'un prétend proposer un médicament miraculeux, ou prédit la fin du monde, prenez le temps d’écouter les arguments de ses adversaires. Il ne faut surtout pas croire à toute déclaration, car en ce qui concerne la sécurité informatique,
- ce ne sont pas les bogues qui posent des problèmes, mais les exploits opérationnels;
- Peut-être que le coût de la correction d'un bogue est trop élevé. Le correctif pour ce bogue sera-t-il rentable si la probabilité de son utilisation par les pirates est nulle ? Et si non, est-il judicieux de dépenser de l’argent pour le corriger ?
Une bonne nouvelle pour les utilisateurs de Dr.Web Security Space : pour se protéger contre la redirection vers des sites malveillants, vous pouvez utiliser le Contrôle Parental Dr.Web et ses listes noires (savez-vous que récemment, Doctor Web a réussi à réduire de deux fois le volume de la base des listes noires sans perte d’efficacité?)
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
Неуёмный Обыватель
03:32:56 2018-07-20
Bernard
16:53:23 2017-05-15
Cependant pourquoi ne parlez vous jamais du module Dr Web antivirus link cheker? ce module contribue t-il à éviter les redirections?
Pouvez-vous nous préciser ce que fait ce module car je pense que peu le connaisse et peu connaisse ce qu'il fait exactement?