Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Yahoo.com victime d’une infection de ses publicités par des malwares

Une machine à contaminer

Yahoo.com victime d'une infection de ses publicités par des malwares

Le 07 janvier 2014 à 10h25

La technologie Java a été de nombreuses fois la cible de malwares à cause de failles non corrigées, engendrant une polémique autour de sa sécurité. L’omniprésence de Java est une nouvelle fois en ligne de mire, mais le produit d’Oracle n’est pas seul cette fois car c’est bien le réseau publicitaire de Yahoo qui a été utilisé comme vecteur principal.

  oracle java

Yahoo.com comme vecteur de publicités infectées

Java est une technologie en perte de vitesse dans le paysage web et reste connue aujourd’hui que de quelques joueurs via les titres qui l’utilisent, à l’instar de Minecraft. Plusieurs fois au centre d’interrogations sur la sécurité informatique, le produit racheté par Oracle en même temps que Sun en 2009 a été pointé du doigt ces dernières années pour un manque de réactivité sur les corrections des failles. Sa présence sur de très nombreuses machines l’a rendu particulièrement attractif pour les pirates qui y cherchent autant de failles que possible.

 

Alors que la sécurité de Java fait actuellement l’objet de très gros travaux chez Oracle, un nouveau problème relance la polémique, qui se permet d’être double cette fois. Car non seulement ces nouvelles attaques se basent bien sur des failles Java, mais elles sont automatisées par une diffusion dans le système publicitaire de Yahoo.

 

C’est la société Fox IT qui est à l’origine de la découverte. Dans un billet datant de vendredi, elle explique avoir détecté une infection de ses machines après une visite automatisée du site Yahoo.com. Après analyse du problème, il s’est avéré que plusieurs publicités diffusées par Yahoo elle-même étaient vérolées, le système publicitaire devenant alors un vecteur.

Une détection automatisée des failles Java 

Seule une partie des publicités s’est avérée problématique, mais toutes provenaient bien de la même adresse : ads.yahoo.com. Dans le cas d’une publicité contenant un malware, le contenu se présente en fait sous la forme d’un iframe hébergé sur l’un des cinq domaines suivants : blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org. Il n’est pas nécessaire de cliquer sur la publicité pour déclencher les hostilités : si l’une des failles Java est présente, son seul affichage est suffisant.

 

Pour vérifier qu’une exploitation est possible, l’utilisateur est automatiquement redirigé vers le kit d’exploitation Magnitude via HTTP, sur un sous-domaine tel que boxsdiscussing.net, crisisreverse.net, ou limitingbeyond.net. Tous ces sous-domaines présentent d’ailleurs tous la même adresse IP, 193.169.245.78, hébergée aux Pays-Bas. À partir de là, Magnitude se charge d’examiner la configuration Java de la machine de l’utilisateur. Si l’une des failles prises en charge est détectée, plusieurs malwares peuvent être installés, parmi lesquels ZeuS, Andromeda, Dorkbot/Ngrbot, Tinba/Zusy ou encore Necurs. Et si la mention de Zeus vous rappelle quelque chose, c’est qu’un botnet  de 100 000 machines infectées avait été détruit en 2009, potentiellement par un groupe concurrent de pirates.

Jusqu'à 27 000 machines contaminées par heure 

L’infection n’aurait pas commencé avant le 30 décembre dernier, ce qui est donc très récent. Une information qui n’est pas étonnante puisqu’une infection de cette ampleur aurait nécessairement été détectée dans les jours qui suivaient. Mais de quelle ampleur parle-t-on au juste ? Selon Fox IT, le nombre de visites sur Yahoo.com est d’environ 300 000 par heure. Sur ce chiffre, l’entreprise a appliqué un taux d’infection décrit comme « typique » de 9 %, aboutissant ainsi à 27 000 infections de machines par heure.

 

Actuellement, les trois pays les plus touchés par cette infection de masse sont le Royaume-Uni, la Roumanie et … la France. Fox IT n’explique pas clairement pourquoi ces trois sont plus concernés que les autres, mais suppose que cela tient à la configuration des publicités infectées, donc à une volonté des pirates qui se tiennent derrière l’attaque. Pour Fox IT, la motivation est certainement financière et rappelle celle de php.net en octobre 2013.

Se protéger contre ce type d'attaque 

Mais comment se prémunir contre cette attaque ? Tout d’abord, Yahoo est au courant de l’attaque et le trafic vers le kit d’exploitation a très largement diminué. Ensuite, il est possible de prendre deux mesures pour bloquer toute opportunité de contamination. D’une part, bloquer les sous-réseaux suivants :

  • 192.133.137/24
  • 192.169.245/24

D’autre part, changer une option dans la configuration Java. Il est en effet possible de garder l’installation en place, par exemple dans le cas où vous êtes un joueur de Minecraft, sans pour autant que le module soit actif dans les navigateurs. Rendez-vous pour cela dans la configuration de Java (accessible depuis les panneaux de configuration de chaque système d’exploitation) :

 

java

 

Dans l’onglet Sécurité, décochez la case « Activer le contenu Java dans le navigateur », ce qui bloquera toute lecture de contenu Java durant une session de surf.

Commentaires (53)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

blistartoncom.org, slaptonitkons.net, original-filmsonline.com, funnyboobsonline.org, yagerass.org



<img data-src=" />

votre avatar







JoePike a écrit :



Protection je pige, mais si on est déja infecté?

Et la question concernant ABP est intéressante







Oui, ça m’intéresse aussi, mes parents ont tous les deux yahoo en page d’accueil, et je ne suis pas sûr qu’ils mettent leur version de java à jour régulièrement.



Je vais avoir du boulot le weekend prochain :(


votre avatar







thiboo a écrit :



Voila pourquoi la publicité est un fléau. Si les utilisateurs acceptaient de payer le contenu jamais cela n’arriverai.



Comme dirait l’autre si c’est gratuit c’est que c’est toi le produit.

Moi je dirais plutôt si c’est gratuit tu le payeras à postériori





Dans ce cas, pourquoi n’es-tu pas abonné à PCInpact ?!?



Il faut être cohérent… <img data-src=" />


votre avatar







zempa a écrit :



Dans ce cas, pourquoi n’es-tu pas abonné à PCInpact ?!?



Il faut être cohérent… <img data-src=" />





Tu peux cacher ton statut d’abonné dans les options <img data-src=" />


votre avatar







zempa a écrit :



Dans ce cas, pourquoi n’es-tu pas abonné à PCInpact ?!?



Il faut être cohérent… <img data-src=" />







parce que j’attends le chef réponde à mon mail pardi

je crois en un abonnement universel



et concernant PCI ils gèrent leur régie pu avec une main de fer donc on ne devrait pas avoir trop de soucis


votre avatar







nevroseman a écrit :



C’est n’importe quoi comme raisonnement, les hackers ne s’attaquent pas qu’aux sites contenants des publicités.



Pas plus qu’aux sites gratuits.



Ils s’attaquent à ce qui rapporte du fric.







si les gens ne pensais pas qu’internet est gratuit, les sites n’auraient pas à trouver des moyens détournés pour gagner de l’argent.


votre avatar



…bloquer les sous-réseaux suivants :





  • 192.133.13724

  • 192.169.24524



    Comme tout le monde n’est pas forcément au courant de ce que représente cette notation (on la voit de plus en plus souvent, mais elle reste rare), et qu’en plus peu de firewalls l’utilisent, je pense qu’il serait utile de préciser que ça équivaut à la notation :



  • IP : 192.133.137.0 - Masque de sous-réseau : 255.255.255.0

  • IP : 192.169.245.0 - Masque de sous-réseau : 255.255.255.0



votre avatar

Ça fait bien longtemps que j’ai dégagé toutes ces saloperies de modules “complémentaires” gruyère de mon Firefox.

Comme je l’ai déjà dit pour les 36news précédentes concernant des failles Java exploitées par le biais du browser, si vous ne l’avez toujours pas désactivé, c’est que vous méritez d’être infecté.

<img data-src=" />

Une sorte de sélection naturelle moderne, en somme…

votre avatar







trshbn a écrit :



Comme tout le monde n’est pas forcément au courant de ce que représente cette notation (on la voit de plus en plus souvent, mais elle reste rare), et qu’en plus peu de firewalls l’utilisent, je pense qu’il serait utile de préciser que ça équivaut à la notation :





  • IP : 192.133.137.0 - Masque de sous-réseau : 255.255.255.0

  • IP : 192.169.245.0 - Masque de sous-réseau : 255.255.255.0





    merci pour ces précisions, je ne suis pas un expert en réseau et ça va m’aider <img data-src=" />

    <img data-src=" />


votre avatar







trshbn a écrit :



Comme tout le monde n’est pas forcément au courant de ce que représente cette notation (on la voit de plus en plus souvent, mais elle reste rare), et qu’en plus peu de firewalls l’utilisent, je pense qu’il serait utile de préciser que ça équivaut à la notation :





  • IP : 192.133.137.0 - Masque de sous-réseau : 255.255.255.0

  • IP : 192.169.245.0 - Masque de sous-réseau : 255.255.255.0





    Sur le fond, je ne comprends pas pourquoi la société Fox IT conseille de bloquer ces 2 plages d’adresse alors qu’il n’y a qu’une adresse qui est concernée au final, c’est 193.169.245.78 donc du second bloc d’adresse qui est chez GoDaddy



    Là, ils bloquent 255 adresses qui n’ont rien à voir. Pourquoi ne bloquent-ils pas tout le bloc qui leur est attribué dans ce cas : 192.169.128.0/17 ?



    Bloquer le premier bloc est aussi incohérent. Ils bloquent 256 adresses pour 5 visées (et qui pour le moment ne font que des redirections vers le site vraiment malveillant).



    J’aurais toujours du mal avec ces propositions de surblocage !


votre avatar



Ensuite, il est possible de prendre deux mesures pour bloquer toute opportunité de contamination. D’une part, bloquer les sous-réseaux suivants :

•192.133.13724

•192.169.24524





ce conseil n’est pas vraiment pertinent.



ça demande un effort inutile (modifier la config d’un routeur) pour un bénéfice niveau sécurité quasi nul.



l’auteur de ces attaques aura vite fait d’utiliser d’autres adresses ip venant d’un hébergeur différent. Et au final, ces adresses resteront inaccessibles même une fois qu’elles auront été réutilisées pour heberger des sites légitimes.

votre avatar







dricks a écrit :



Ça fait bien longtemps que j’ai dégagé toutes ces saloperies de modules “complémentaires” gruyère de mon Firefox.

Comme je l’ai déjà dit pour les 36news précédentes concernant des failles Java exploitées par le biais du browser, si vous ne l’avez toujours pas désactivé, c’est que vous méritez d’être infecté.

<img data-src=" />

Une sorte de sélection naturelle moderne, en somme…





On peut avoir de bonnes raisons de garder Java activé dans un browser.

Ta remarque est ridicule et elle fleure bon le sentiment de supériorité.



Je trouve que Firefox qui n’active plus par défaut l’applet JAVA et demande de cliquer (et permet de choisir si l’on veut activer ou bloquer définitivement pour chaque site) apporte plus à la sécurité que ta remarque suffisante.

Idem pour son option (active par défaut il me semble) qui permet de bloquer les sites signalés comme site d’attaque. D’ailleurs, 193.169.245.78 est bloqué par Firefox si l’on essaie d’y aller.


votre avatar



Sur le fond, je ne comprends pas pourquoi la société Fox IT conseille de bloquer ces 2 plages d’adresse alors qu’il n’y a qu’une adresse qui est concernée au final, c’est 193.169.245.78 donc du second bloc d’adresse qui est chez GoDaddy





c’est un conseil ridicule.



la seule vraie solution, c’est d’avoir un JRE à jour, et idéalement, de désactiver le support de java dans le navigateur comme indiqué dans la news, sachant que des sites qui exploitent des failles java il y a en a des milliers d’autres.



si on se met à vouloir bloquer chaque ip ou bloc d’ip qui sert des malwares, on a pas fini!

votre avatar







jmanici a écrit :



c’est un conseil ridicule.



la seule vraie solution, c’est d’avoir un JRE à jour, et idéalement, de désactiver le support de java dans le navigateur comme indiqué dans la news, sachant que des sites qui exploitent des failles java il y a en a des milliers d’autres.



si on se met à vouloir bloquer chaque ip ou bloc d’ip qui sert des malwares, on a pas fini!





On est bien d’accord.



Par contre, comme le conseil avait été repris par Vincent dans son article et que PC INpact est un site sérieux qui prend du recul, je me demandais si j’avais raté quelque chose.

<img data-src=" />


votre avatar

Pour répondre à la question Adblock, il faut simplement se rappeler du pb réel : contrairement à ce que j’ai lu dans un com, ce n’est pas java dans la machine, qui permet par exemple de faire tourner un logiciel en java (comme JDownloader ou µTorrent <img data-src=" /> ), qui est en cause, mais les applet java déclenchés par le navigateur quel qu’il soit, donc un plug-in du navigateur.



Par conséquent, OUI, adblock (et/ou + Ghostery) sera efficace dans le sens où il ne permettra pas aux pubs de s’afficher dans le navigateur, ce qui règle CE problème de la news qui concerne une infection par des pubs.

Mais NON, adblock ne règle pas tous les pb et il vaut mieux prendre le pb à la racine : désactiver toute occurrence de java dans un navigateur par quelque plug-in que ce soit.

Un exemple ? AB est activé, il n’y aura pas de pub donc pas de malware dans les pubs, mais M Michu se dit en surfant sur ce si joli site : “tiens, je vais regarder ce panorama 360° sympa avec ces si jolis paysages…”… Malheureusement, il y a 3 moyens de les créer et les mettre à dispo sur un site : flash, quicktime et… java.

En suivant les recommandations de la news, il ne pourra voir que celles qui ne sont pas concernées par cette infection.

votre avatar

Yahoo est relou avec ses pubs.



Si vous utilisez un bloqueur de pub (comme ABP), il n’est plus possible d’étendre la zone à droite pour lire un email en pleine largeur. Par contre, si vous mettez le domaine yahoo en liste blanche, la pub est présente et AVEC la fameuse flèche pour étendre vers la droite la fenêtre d’affichage du corps du message. <img data-src=" />



Ca peut aller sur des configs avec grand écran mais sur des écrans anciens, c’est chiant. Et la seule possibilité est de prendre un abo premium pour avoir Yahoo sans pubs…

votre avatar







Burn2 a écrit :



Même question, je connais quelqu’un qui a yajhoo comme page d’accueil…



Il va falloir que je vérifie qu’il ne soit pas infecté…







On se connait ?? <img data-src=" />

Putain il va falloir que je vérifie mon pc …


votre avatar







Burn2 a écrit :



Même question, je connais quelqu’un qui a yajhoo comme page d’accueil…



Il va falloir que je vérifie qu’il ne soit pas infecté…







Si il utilise Yahoo il est déjà infecté depuis longtemps alors <img data-src=" />


votre avatar







fred42 a écrit :



Sur le NB :

Je pense avoir bien compté : les blocs d’adresses sont plus grands que 256 et les adresses bloquées ne sont ni au début ni à la fin du bloc.

Mais de toute façon, l’ordre de grandeur y est.





Oui oui si c’est du /8 ça fait : (2^24)-2 = …. à toi de compter et de tête svp ;-)

IPv4 est sur 32 bits = 4 octets, donc /8 donne 8 bits pour le subnet et 24 pour les hôtes, moins 2 qui sont l’@ réseau et le broadcast.

C’était juste pour chipoter (dsl je suis dans le réseau), mais tu as raison l’ordre de grandeur était là…. :-)


votre avatar







boglob a écrit :



Bien sur que si on trouve encore pas mal d’applet, dire qu’il n’y en a plus c’est juste faux.





Dans le secteur grand public, je n’en connais plus. Dans les applications entreprises, il en reste. En tout cas, je ne vois pas ce qui justifie que le parc mondial des PC garde encore un JRE.



Au final, c’est pas plus faux que de dire

Java est une technologie en perte de vitesse dans le paysage web

, et pourtant ça n’a alerté personne par ici… Comme si personne ne connaissait les produits autour de J2EE …


votre avatar

Le jour où les navigateurs ne prendrons plus en compte les IFRAME…

votre avatar

Adblock plus est-il suffisant dans le cas présent pour se protéger?

votre avatar

Perso je n’ai même plus de JRE depuis au moins 3 ans <img data-src=" />

votre avatar

Je maintiens Java à jour, mais surtout je l’ai désactivé dans les navigateurs, donc… <img data-src=" />

votre avatar







maestro321 a écrit :



Adblock plus est-il suffisant dans le cas présent pour se protéger?





Même question, je connais quelqu’un qui a yajhoo comme page d’accueil…



Il va falloir que je vérifie qu’il ne soit pas infecté…


votre avatar

Protection je pige, mais si on est déja infecté?

Et la question concernant ABP est intéressante

votre avatar



Java est une technologie en perte de vitesse dans le paysage web et reste connue aujourd’hui que de quelques joueurs via les titres qui l’utilisent, à l’instar de Minecraft.





Les applets Java on n’en trouve plus.



Côté serveur c’est une autre histoire, il y a du J2EE un peu partout…

votre avatar







maestro321 a écrit :



Adblock plus est-il suffisant dans le cas présent pour se protéger?







Apparemment oui, ads.yahoo.com est bloqué par Adblock :



https://adblockplus.org/forum/viewtopic.php?t=18121


votre avatar







maestro321 a écrit :



Adblock Edge est-il suffisant dans le cas présent pour se protéger?





<img data-src=" />


votre avatar







hadoken a écrit :



Perso je n’ai même plus de JRE depuis au moins 3 ans <img data-src=" />



pareil ici.<img data-src=" />


votre avatar



Selon Fox IT, le nombre de visites sur Yahoo.com est d’environ 300 000 par heure. Sur ce chiffre, l’entreprise a appliqué un taux d’infection décrit comme « typique » de 9 %, aboutissant ainsi à 27 000 infections de machines par heure.





echo $RANDOM est aussi pertinent que le calcul de Fox IT.

votre avatar

Voila pourquoi la publicité est un fléau. Si les utilisateurs acceptaient de payer le contenu jamais cela n’arriverai.



Comme dirait l’autre si c’est gratuit c’est que c’est toi le produit.

Moi je dirais plutôt si c’est gratuit tu le payeras à postériori

votre avatar

Moi si ca ne tenais qu’a moi je n’installerais jamais java.

Mais j’suis obligé d’installer Java pour recharger mon pass Navigo tous les mois.

Avec le lecteur de carte USB et le site Navigo.fr <img data-src=" />

votre avatar

Étrange titre … c’est Yahoo la victime? Ce ne serait pas plutôt eux les responsables en servant du contenu dynamique en pub ? S’il y avait plus de contrôle sur les pubs et un simple texte ou image statique il n’y aurait probablement jamais eu le problème.

votre avatar







thiboo a écrit :



Voila pourquoi la publicité est un fléau. Si les utilisateurs acceptaient de payer le contenu jamais cela n’arriverai.



Comme dirait l’autre si c’est gratuit c’est que c’est toi le produit.

Moi je dirais plutôt si c’est gratuit tu le payeras à postériori





C’est n’importe quoi comme raisonnement, les hackers ne s’attaquent pas qu’aux sites contenants des publicités.



Pas plus qu’aux sites gratuits.



Ils s’attaquent à ce qui rapporte du fric.


votre avatar







neves a écrit :



echo $RANDOM est aussi pertinent que le calcul de Fox IT.





c’est tellement ça <img data-src=" />







Groumfy a écrit :



Les applets Java on n’en trouve plus.



Côté serveur c’est une autre histoire, il y a du J2EE un peu partout…





les différentes découvertes de failles/MàJ/réaction des navigateurs peuvent devenir bien lourdingues pour accéder aux interfaces des switch ou autre bordel accessibles avec java :/


votre avatar

Une agence de pub qui permet à ses clients (ceux qui conçoivent les pubs) mettre des iframes, ya que moi que ça choque ?



Perso si j’intègre une pub sur un site j’attend que l’agence n’affiche que du contenu qu’elle maîtrise (et donc héberge elle même) non ?



En même temps quand on intègre un script d’affiliation, quand on voit qu’il en appelle un autre puis un autre,… tous de domaines et de sociétés différentes ça fait peur. Rien n’empêche l’une d’entre elle de générer un peu plus qu’une image de tracking. Et encore on ne voit que la partie cliente.



Bref tout cela pose des problèmes de vie privée mais aussi maintenant de sécurité puisque plus personne ne maîtrise le code final de ses pages. On l’a vu récemment sur d’autres sites en apparence plus “intègres” qui se sont vu bloqués par google suite à des pubs un peu trop virulentes et non contrôlées.



Je pense qu’adblock protège dans ce cas précis puisqu’il agit en amont du chargement du code html et que l’iframe “mère” ads.yahoo.com est filtrée.

votre avatar







fred42 a écrit :



On peut avoir de bonnes raisons de garder Java activé dans un browser.

Ta remarque est ridicule et elle fleure bon le sentiment de supériorité.







Je doute qu’elle soit pertinemment installée sur les 27000machines/heure.



Ce serait la 1ere news du genre, je comprendrais.

Mais vu que c’est la Xème et que ça fait qqes années maintenant que le plugin browser Java est notoirement connu pour être une passoire à malwares, je ne mets plus de gants.

La seule raison à peu près valable d’utiliser encore cette techno, c’est d’avoir en entreprise une appli critique développée en externe par une boîte qui a fait faillite depuis.

Toute autre raison n’est que prétexte de fainéantise, et donc, infection méritée.

C’est pas grave, ceux qui n’ont pas été infecté et ceux qui ont réussit à s’en débarrasser mais qui ne l’ont pas désactivé finiront peut-être par le faire à la prochaine infection ou à la suivante.

Y’a pas que Yahoo qui affiche des pubs….



Pour ceux qui l’utilisent pour Minecraft, qu’ils se manifestent auprès de l’éditeur pour que celui-ci propose son jeu en utilisant une plateforme qui ne mette pas en péril la sécurité des postes utilisateurs.

Après tout, me semble avoir lu qu’il a touché un joli pactole pour son jeu, il peut bien en dépenser un peu pour faire cet effort, non?



Bref, ca fera un joli botnet. Si ca se trouve, c’est juste pour miner du bitcoin dans son coin.


votre avatar







thiboo a écrit :



Voila pourquoi la publicité est un fléau. Si les utilisateurs acceptaient de payer le contenu jamais cela n’arriverai.



Comme dirait l’autre si c’est gratuit c’est que c’est toi le produit.

Moi je dirais plutôt si c’est gratuit tu le payeras à postériori









(venant d’un non abonné a PCI, c’est assez cocasse …)


votre avatar







MiGaNuTs a écrit :



(venant d’un non abonné a PCI, c’est assez cocasse …)







j’ai déjà fait l’abonné j’attends qu’ils installent SQweb <img data-src=" />


votre avatar







Crysalide a écrit :



Yahoo est relou avec ses pubs.



Si vous utilisez un bloqueur de pub (comme ABP), il n’est plus possible d’étendre la zone à droite pour lire un email en pleine largeur. Par contre, si vous mettez le domaine yahoo en liste blanche, la pub est présente et AVEC la fameuse flèche pour étendre vers la droite la fenêtre d’affichage du corps du message. <img data-src=" />



Ca peut aller sur des configs avec grand écran mais sur des écrans anciens, c’est chiant. Et la seule possibilité est de prendre un abo premium pour avoir Yahoo sans pubs…





Il s’agit là de Yahoo mail.

Effectivement, Yahoo essaie de vivre du service mail fourni soit par la pub, soit par abonnement. Je ne trouve pas cela déraisonnable qu’il joue avec la détection d’ABP.

Trouvant désagréable sur mon netbook cette absence de flèche, j’ai supprimé ABP pour yahoo mail sur cette machine et je ne lis pas plus les pubs. J’ai de toute façon un bloqueur de pub intégré dans le cerveau.



Remarque : Yahoo conçoit ses pages ailleurs aussi pour que l’utilisation d’ABP les mette en vrac. Suivant l’importance que j’apporte à ce que je voulais y lire ou voir, soit je désactive pour la page et je fais un coup de refresh, soit j’abandonne la lecture de cette page.



Par contre, ce que je supporte pas chez eux, c’est les pubs agressives qui se mettent sur la partie “utile” de la page sans qu’on puisse désactiver rapidement. Là, je fuis la plupart du temps.


votre avatar







fred42 a écrit :



Sur le fond, je ne comprends pas pourquoi la société Fox IT conseille de bloquer ces 2 plages d’adresse alors qu’il n’y a qu’une adresse qui est concernée au final, c’est 193.169.245.78 donc du second bloc d’adresse qui est chez GoDaddy



Là, ils bloquent 255 adresses qui n’ont rien à voir. Pourquoi ne bloquent-ils pas tout le bloc qui leur est attribué dans ce cas : 192.169.128.0/17 ?



Bloquer le premier bloc est aussi incohérent. Ils bloquent 256 adresses pour 5 visées (et qui pour le moment ne font que des redirections vers le site vraiment malveillant).



J’aurais toujours du mal avec ces propositions de surblocage !





Tout à fait d’accord, c’est bien débile comme blopcage (et encore plus comme correctif

NB: 256 adresses en /24 (254 en faite si le sous-réseau était en /24), j’ai l’impression que le réseau est en /8


votre avatar







dricks a écrit :



Je doute qu’elle soit pertinemment installée sur les 27000machines/heure.







Ces 27000 machines par heure ne sont qu’une invention de Fox IT qui applique un ration de 9 % venu d’on ne sait où. Comme je l’ai expliqué ailleurs, toute machine utilisant un firefox récent est protégé sauf si l’utilisateur va cliquer pour autoriser l’activation de la pub.





Ce serait la 1ere news du genre, je comprendrais.

Mais vu que c’est la Xème et que ça fait qqes années maintenant que le plugin browser Java est notoirement connu pour être une passoire à malwares, je ne mets plus de gants.

La seule raison à peu près valable d’utiliser encore cette techno, c’est d’avoir en entreprise une appli critique développée en externe par une boîte qui a fait faillite depuis.

Toute autre raison n’est que prétexte de fainéantise, et donc, infection méritée.



Non, j’ai l’utilisation dans le cadre privé des applets Java dans le browser. Elle est assez rare mais, c’est pour cela que je garde le plugin Java dans mon browser. Mais comme expliqué un peu plus haut, avec l’activation à la demande de Java dans Firefox (donc blocage par défaut) je suis protégé de la plupart de ces attaques.



C’est pas grave, ceux qui n’ont pas été infecté et ceux qui ont réussit à s’en débarrasser mais qui ne l’ont pas désactivé finiront peut-être par le faire à la prochaine infection ou à la suivante.





Sûrement pas parce qu’ils ne comprendront pas pourquoi ils se sont fait infecter.





Pour ceux qui l’utilisent pour Minecraft, qu’ils se manifestent auprès de l’éditeur pour que celui-ci propose son jeu en utilisant une plateforme qui ne mette pas en péril la sécurité des postes utilisateurs.

Après tout, me semble avoir lu qu’il a touché un joli pactole pour son jeu, il peut bien en dépenser un peu pour faire cet effort, non?



Bref, ca fera un joli botnet. Si ca se trouve, c’est juste pour miner du bitcoin dans son coin.



Malgré les nombreuses news dont tu nous parlais, tu as encore du mal à faire la différence entre une applet Java qui est lancée par un plugin de navigateur et une application Java comme Minecraft qui est lancée de façon autonome en dehors de tout navigateur.



Les failles dont on parle sans arrêt sur les news dont tu parles ne concernent que les plugins de navigateur, donc Minecraft n’est pas concerné.


votre avatar







tschaggatta a écrit :



Tout à fait d’accord, c’est bien débile comme blopcage (et encore plus comme correctif

NB: 256 adresses en /24 (254 en faite si le sous-réseau était en /24), j’ai l’impression que le réseau est en /8





Sur le NB :

Je pense avoir bien compté : les blocs d’adresses sont plus grands que 256 et les adresses bloquées ne sont ni au début ni à la fin du bloc.

Mais de toute façon, l’ordre de grandeur y est.


votre avatar







dump a écrit :



j’suis obligé d’installer Java pour recharger mon pass Navigo tous les mois. Avec le lecteur de carte USB et le site Navigo.fr <img data-src=" />







Idem.

Je vois pas comment la RATP pourrait faire sans une applet Java puisqu’il faut communiquer avec le lecteur USB.


votre avatar







fred42 a écrit :



Les failles dont on parle sans arrêt sur les news ne concernent que les plugins de navigateur, donc Minecraft n’est pas concerné.







Pour être un peu tatillon, ces failles sont bien dans Java lui-même mais atteignables depuis le navigateur uniquement par le plugin Java. Donc comme tu le dis, pas de plugin Java (ou désactivé par défaut), pas de problème.


votre avatar







tanguy_k a écrit :



Idem.

Je vois pas comment la RATP pourrait faire sans une applet Java puisqu’il faut communiquer avec le lecteur USB.





Java est peut-être la seule techno capable de communiquer avec un port usb dans une application web, mais rien n’empêche la RATP de fournir un soft indépendant de java et du navigateur web?


votre avatar

Firefox ne lance plus de Java sans demander la permission par défaut. Ça devrait limiter la diffusion de ce genre de malware

votre avatar







maestro321 a écrit :



rien n’empêche la RATP de fournir un soft indépendant de java et du navigateur web?







C’est beaucoup moins pratique et universel qu’une applet Java qui AMHA est la solution la moins pire en terme de facilite pour l’utilisateur.


votre avatar







thiboo a écrit :



si les gens ne pensais pas qu’internet est gratuit, les sites n’auraient pas à trouver des moyens détournés pour gagner de l’argent.





Ou, si les gens ne pensaient pas qu’internet est payant, les sites n’auraient pas à trouver des moyens détournés pour gagner de l’argent.


votre avatar







MiGaNuTs a écrit :



(venant d’un non abonné a PCI, c’est assez cocasse …)





On peut cacher son statut abonné.


votre avatar







Groumfy a écrit :



Les applets Java on n’en trouve plus.



Côté serveur c’est une autre histoire, il y a du J2EE un peu partout…







Bien sur que si on trouve encore pas mal d’applet, dire qu’il n’y en a plus c’est juste faux.


votre avatar

Bon, Java a beau être désactivé dans mes navigateurs, la news a eut le mérite de me rappeler de mettre la bête à jour (j’en ai resté à la 1.7 màj 21). <img data-src=" />

Yahoo.com victime d’une infection de ses publicités par des malwares

  • Yahoo.com comme vecteur de publicités infectées

  • Une détection automatisée des failles Java 

  • Jusqu'à 27 000 machines contaminées par heure 

  • Se protéger contre ce type d'attaque 

Fermer