Nous vous le répétons sans cesse : ne cliquez jamais sur des liens suspicieux, n’ouvrez jamais de fichiers de sources inconnues et effacez toujours les e-mails d’expéditeurs que vous ne con-naissez pas. Même si tous ces conseils sont bons, ils ne vous serviront à rien si vous utilisez Outlook, car ils ne vous protégeront pas de la vulnérabilité BadWinmail. Vous n’avez pas besoin de cliquer ou d’ouvrir quelque chose d’infecté. Vous recevez un e-mail… et c’est tout. En fait, il n’est même pas nécessaire d’ouvrir le mail.
Comment est-ce possible ?
Si vous connaissez Microsoft Office, vous savez probablement que des objets peuvent être in-tégrés à des fichiers MS Office. Bien sûr, ce n’est pas le cas de n’importe quel objet, mais la liste est assez longue. Cela s’appelle la technologie OLE (Object Linking and Embedding, incrustation et connexion d’objet).
Logo for #BadWinMail ? pic.twitter.com/gP45Iq3ShE
— Erlend Oftedal (@webtonull) December 16, 2015
En fait, cette technologie fonctionne non seulement sur DOC, XLS et cetera, mais aussi sur Ou-tlook. Et la liste des objets mentionnés ci-dessous contient, en plus de formats MS Office géné-riques, des choses sympas comme les projets Adobe Flash.
Savez-vous pourquoi les cybercriminels adorent tellement Flash ? Parce que Flash comporte beaucoup de vulnérabilités. Certains de ces bogues jour zéro, ce qui signi-fie qu’ils ne sont pas corrigés. Ces vulnérabilités peuvent être exploités pour faire des choses que votre PC n’appréciera certainement pas.
Adobe Patches 23 Critical Vulnerabilities in Flash Player: https://t.co/ON2iKYKk5f via @threatpost pic.twitter.com/29dRbc5KTI
— Kaspersky (@kaspersky) September 21, 2015
C’est un problème très connu et, pour lutter contre celui-ci, de nombreux développeurs utilisent la même méthode simple : ils n’autorisent le continu Flash à fonctionner dans leurs logiciels (par exemple les navigateurs) que dans ce qu’on appelle des » bacs à sable « . Le code malveillant peut faire ce qu’il veut dans ces bacs à sable, même lancer une cyberapocalypse !
L’idée c’est qu’il ne puisse pas s’échapper du bac à sable et ne puisse donc rien affecter hors de celui-ci pour que vos fichiers ne soient pas corrompus. Cette méthode est tout du moins conçue ainsi ; parfois, le truc ne marche pas, mais c’est encore une autre histoire. Le cas qui nous occupe n’a rien à voir avec cela.
Vous attendez la suite pour comprendre quelle est la vulnérabilité d’Outlook ? C’est parti ! En fait, Outlook n’utilise pas ce type de bacs à sable pour les objets potentiellement dangereux et exécute tout en mode normal. Cela signifie que le code malveillant des objets intégrés peut agir comme n’importe quel autre logiciel installé sur votre PC.
Qu’est-ce que la vulnérabilité #BadWinmail et pourquoi est-elle dangereuse ?
Tweet
Et il n’y a pas que cela ! Outlook est si obligeant qu’il ouvre l’e-mail le plus récent avant que vous ne le fassiez ! Ainsi, si un e-mail malveillant avec un programme BadWinmail est le dernier e-mail à être arrivé dans votre boîte de réception, il est exécuté immédiatement lorsque vous démarrez Outlook.
Le chercheur en sécurité Haifei Li, qui a découvert le bug, a créé des preuves du concept d’une attaque possible qui exploiterait la vulnérabilité BadWinmail, comme il l’a appelée. Il le décrit avec des mots étonnamment simples dans sa recherche.
Il a même créé cette vidéo relativement courte qui explique parfaitement l’idée centrale du fonc-tionnement de cette vulnérabilité.
Special Report: #BadWinmail – The "Enterprise Killer" Attack Vector in #Microsoft #Outlookhttps://t.co/pOTNIh6bQs. https://t.co/BaDEBZXCSm.
— Haifei Li (@HaifeiLi) December 15, 2015
Pour comprendre à quel point cela peut être nocif, imaginez qu’un criminel, au lieu d’ouvrir l’innocente application de Calculatrice, exécute un ransomware sur votre PC.
La bonne nouvelle, c’est que Haifei Li a signalé ce bug à Microsoft, et que la société a résolu ce problème le 8 décembre. La mauvaise, c’est que les personnes qui n’ont pas l’habitude de mettre à jour leur logiciel régulièrement ont encore cette vulnérabilité. Et certains d’entre eux la garderont pendant des semaines, des mois ou même des années.
#IT #Tip Disable the “remind me later” button to ensure critical updates installed https://t.co/jVKXcJ1vWm #infosec pic.twitter.com/KNnlnjk0Ej
— Kaspersky (@kaspersky) November 5, 2015
Maintenant que le rapport a été publié pour le grand public, de nombreux cybercriminels vont essayer d’utiliser cette vulnérabilité pour infecter des milliers, voir des millions de PC. Si vous vous êtes un jour demandé pourquoi il est si important de toujours mettre vos logiciels à jour immédiatement et d’utiliser un logiciel de sécurité, je crois que vous avez dé-sormais la réponse à cette question.