Selon Websense, la menace se concentre sur les sites Web légitimes

Près de 80 % des sites diffusant du code malveillant sont aujourd’hui des sites Web légitimes, selon Websense. Mais le spécialiste de la sécurité des flux de données connectés à Internet insiste sur l’aspect humain du problème. Et tous les niveaux.

Alors qu’un ver se propage via Twitter - et plus précisément via les liens courts goo.gl/R7f68 et goo.gl/od0az -, les conclusions de l’édition 2010 de l’étude annuelle de Websense sur la sécurité informatique tombent à point. Selon celle-ci, 79,9 % des sites Web abritant du code malicieux ne sont que des sites Web parfaitement légitimes.

Parmi les sites Web concernés, ceux consacrés au sexe arrive en première position avec 12,9 % des menaces recensées mais seulement 0,5 % du trafic Web total. Arrivent en seconde position les sites Web relatifs aux technologies de l’information, avec 10,2 % des menaces et 9,3 % du trafic. Mais c’est en troisième position que se trouve probablement le rapport "part des menaces/part du trafic Web" le plus significatif : les sites Web d’information et de médias, à 9,9 % des menaces et 17,6 % du trafic.

La faute à une vulnérabilité technique particulièrement prononcée ? Non, selon Florent Fortuné, directeur technique Europe du Sud de Websense. Selon lui, la raison est à chercher dans le fait que les sites IT et médias sont majoritairement des sites Web dynamiques : «il n’y a pas besoin de les hacker pour y publier un lien qui renverra vers un site malicieux, dans un commentaire, par exemple. C’est le cas de figure que l’on observe de plus en plus.» En outre, ces sites Web souffrent de leur popularité : «le but du jeu, c’est bien sûr de s’assurer d’un maximum de clics sur le lien menant à la page hébergeant le code malicieux.» Au final, c’est donc moins la sécurité technique qui est mise en cause que les pratiques de modération.

L’humain, encore et toujours maillon faible

De quoi en revenir à la question de l’humain dans la chaîne de la sécurité informatique. Une question qui renvoie d’abord au phishing - 0,6 % des messages non sollicités, en recul du fait d’une vigilance qui progresse - mais aussi aux fuites de données en entreprise. Le rapport de Websense rappelle que «dans de nombreux cas, la perte de données est le fait de bons employés faisant de grosses bêtises ». Florent Fortuné est plus précis : «en 2007, avec nos solutions de prévention des fuites de données, nous avons surveillé 120 000 processus qui ne respectaient pas les règles de sécurité» définies dans les entreprises équipées.

Jay Liew, chercheur en sécurité de l’éditeur, souligne, quant à lui,  l’importance de «l’éducation». Et si Florent Fortuné reconnaît qu’il reste en la matière encore beaucoup à faire, selon lui, les entreprises «le font de plus en plus auprès de leurs salariés.» Mais aussi auprès de leurs clients, dans le cas des «banques ou des administrations», lesquelles ont fait l’objet, ces dernières années, de nombreuses opérations de phishing. De quoi peut-être accélérer le mouvement.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)