Spécial sécurité : les cybercriminels mieux qu'organisés qu'un géant de l'aéronautique
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, détaillent une étude de la société Imperva se penchant sur l'organisation - très huilée - des organisations cybercriminelles. Avant de tordre le cou à quelques idées reçues en matière de biométrie.
1 - Hack : lorsque les facs carburent au viagra
1) Hack : lorsque les facs carburent au viagra
Imperva, un spécialiste de la sécurité des bases de données, est un habitué des « études thématiques » détaillant l’organisation quasi-militaire des cybercriminels. La dernière étude en date, - disponible gratuitement (moyennant une impressionnante quantité d’informations personnelles) nous décrit un monde où les truands sont plus organisés qu’une entreprise aéronautique. Organisés et sachant se diversifier, car les dernières « victimes à la mode » seraient en majorité des sites universitaires américains et britanniques. Un rapide GoogleHacking met effectivement en évidence une très nette recrudescence de redirections sauvages ou de pages hébergées à partir de domaines arborant des suffixes .edu ou .ac.uk.
En haut de la pyramide, nous explique l’étude d’Imperva, des chercheurs, chargés de découvrir des failles et exploits, des gardiens de botnets, responsables de la diffusion des œuvres des susmentionnés, et des hommes d’affaires, ceux qui choisissent la « charge utile » que véhiculera l’exploit/troyen/virus. Pour amplifier les efforts de ces travailleurs de l’embrouille, deux innovations techniques majeures : les SEO (Search Engine Optimisation) d’une part, qui placent en tête de liste les sites compromis dès qu’une requête est formulée sur un moteur de recherche, et les logiciels d’automatisation d’attaques qui cherchent systématiquement des mots de passe, des identités, tout type d’information pouvant, par la suite, offrir un accès à l’intérieur d’un site contenant des informations monnayables. Ce qui fait dire aux experts d’Imperva que le monde du hack est en train de subir une véritable « révolution industrielle ». Si les techniques de piratage deviennent effectivement de plus en plus automatisées, parler d’industrialisation peut sembler un peu hâtif et réducteur. Les alliances entre truands sont généralement de courte durée et dictées par la recherche de gains rapides. Les bot herders, spécialistes du spam, professionnels de la pharmacie en ligne, gourous du virus rançonneur ou du scareware, récolteur d’adresses, etc. ne peuvent être assimilés réellement à une entreprise durable et structurellement stable. C’est précisément cette mobilité et cette absence de structure réelle qui fait leur force et les rend insaisissables.
Zeljka Zorz, du site d'information sur la sécurité HNS, fait un rapide tour d’horizon de la biométrie. Un court voyage de quelques dizaines de lignes qui résume de manière lapidaire les limitations de ce procédé d’authentification et qui, surtout, montre à quel point la notion d’intégration d’une technologie est un problème bien distinct des principes qui régissent la technologie elle-même. Contrôler une empreinte digitale, par exemple, c’est réduire à un facteur unique et immuable une « preuve » d’authentification. Que la traduction numérique de cette preuve soit compromise (volée, divulguée..) et il est impossible d’en changer. Zeljka Zorz aurait également pu ajouter qu’à part une amputation radicale de l’index et du pouce des deux mains, cette authentification est également impossible à répudier. S’ajoute également la possibilité de substituer ce qui peut ressembler à la preuve. Une affaire récente dévoilée par la PAF japonaise laissait même deviner que les fausses empreintes digitales commençaient à être utilisées par des non spécialistes.
Reste, ajoute Zorz pour rassurer ses lecteurs, qu’il est difficile de « bruteforcer » une empreinte, ce qui fait du biométrique un excellent second facteur capable de renforcer une première authentification par mot de passe. Cet argument, doit-on préciser, est considéré par quelques spécialistes de la fausse peau comme un élément aggravant, comme un vecteur de « sentiment de fausse sécurité ». Car s’il est impossible de cracker une empreinte ou toute autre propriété physique, elle peut être obtenue par des procédés psychologiques plus traditionnels. Tout se résume donc à une simple évaluation du risque encouru associé à une analyse technique et humaine des techniques de crédence. Plus le secret à préserver est précieux, plus le nombre de facteurs d’authentification doit être multiplié. Mais plus les procédures d’authentification deviennent nombreuses et contraignantes, plus les risques de contournement de la part des usagers légitimes sont élevés, provoquant ainsi un effet contraire à celui escompté. Dans cette perspective, la biométrie redevient alors une solution sinon inviolable, du moins considérablement plus ergonomique qu’une succession de mots de passe changeants, de cartes à puce à ne perdre sous aucun prétexte, de « passphrases » alambiquées et de codes PIN rarement mnémotechniques.