Spécial sécurité : la moitié des ordinateurs infestés...
Quel risque représentent les logiciels malveillants ? C'est cette question que se posent aujourd'hui nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, au travers, notamment, de la problématique de la mesure de l'étendue de la contamination. Qu'elle est-elle, justement ? 25 % comme le veut une métrique "généralement admise", ou plutôt 48 %, selon l'APWG ? Plus loin, nos confrères s'arrête sur une autre métrique, guère rassurante : celle mesurant le niveau de réutilisation des mots de passe des services de banque en ligne.
1 - La moitié des ordinateurs infestés…
2 - 73% des mots de passe bancaires sont réutilisés
1 - La moitié des ordinateurs infestés…
L’éclairage de Fabrice Epelboin sur les aspects pervers de la Loppsi laisse clairement entendre que plus les Etats tenteront de filtrer les contenus d’Internet, plus cette politique profitera financièrement aux grands cyberdélinquants du Net. Et de citer le cas de figure des « professionnels » de la pédopornographie, schéma que l’on pourrait étendre à pratiquement toutes les activité illégales utilisant la chaine « spam+vpn+fast-flux-dns ». Du trafic de crédences bancaires aux faux antivirus, en passant par les pharmacies douteuses et le recrutement de mules, toutes ces activités se jouent de la méthode « détection-réaction » que tentent d’appliquer en vain les politiques actuels. Les métriques de Fabrice Epelboin se basent sur une métrique « généralement admise » situant à près de 25% le nombre de postes de travail infectés et donc susceptibles d’être exploités par ces techno-trafiquants. La réalité pourrait bien être plus dramatique.
Une récente étude de l’APWG commentée par Dancho Danchev laisserait entendre que le taux d’infection réel serait plus proche de 48,35 %, sur un échantillonnage que l’on peut difficilement considérer comme insignifiant : 22,7 millions de machines sondées.
Soit près de la moitié des systèmes connectés à Internet. Bien sûr, bon nombre de ces machines sont infectées par des codes cherchant à extraire directement des crédences bancaires et autres informations confidentielles. Mais il ne faut pas perdre de vue que ces infections reposent également en très grande majorité sur des « downloaders » et des fonctions de Troyen fort capables de transformer le poste infecté en relais smtp ou en nœud de réseau vpn… un Tor à la sauce mafieuse.
Autre sujet de préoccupation, le taux d’efficacité des outils de protection périmétrique. Car on ne peut imaginer un seul instant que seules ces machines infectées soient celles ne possédant pas le moindre antivirus. Que celui-ci soit gratuit (Microsoft, Avast, AVG, ClamFree…), soit intégré à OpenOffice*. Si le fameux « logiciel Hadopi », qu’espère imposer le gouvernement actuel, parvient à bloquer toutes ces attaques et garantir l’intégrité des PC Français comme certains ministres le prétendent et l’espèrent, l’on peut avec quelque inquiétude s’interroger sur le devenir d’entreprises telles que Symantec, Kaspersky, McAfee, Eset, F-Secure, Grisoft et autres face à cette concurrence déloyale. *NdlC Note de la Correctrice : l’auteur sombre une fois de plus dans la facilité la plus démagogique qui soit… mais il insiste
2 - 73% des mots de passe bancaires sont réutilisés
Le rapport « Reused login credentials » publié par Trusteer risque de donner des sueurs froides à nos chers banquiers et réjouir les amateurs de fric-frac en ligne. Selon cette étude, 73% des mots de passe utilisés pour accéder à un compte en ligne servent également à leurs possesseurs pour ouvrir des sessions sur d’autres services non bancaires (forums, magasins en ligne etc). 47 % des usagers vont même jusqu’à utiliser la totalité de leurs crédences bancaires (login ET mot de passe) sur d’autres sites. Lorsque la banque impose l’identifiant, 42 % de leurs clients ré-utilisent ledit identifiant sur au moins un autre site, et si cette même banque décide que chaque usager doit pouvoir choisir cet identifiant, 65 % des personnes auront tendance à partager celui-ci avec d’autres services.
Ce que ne précise pas le rapport et que l’on pourrait ajouter, c’est que, particulièrement en France, les identifiants imposés par les banques sont lus par au moins 3 personnes différentes et expédiés aux client sous simple pli postal contenant à la fois l’identifiant et le mot de passe « par défaut ». Qu’il n’existe généralement aucune procédure permettant de changer ledit identifiant (ce qui correspond à « offrir » la moitié du travail à un pirate effectuant une tentative d’intrusion), que dans la plupart des cas, les symboles et diacritiques sont exclus des caractères autorisés dans le mot de passe, louable effort visant à ne pas trop surcharger les ordinateurs des « bruteforcers » peut-être …