L’état du monde IT : Internet joue à se faire peur

Comme de bien entendu, l’année écoulée n’a pas été de tout repos pour les spécialistes de la sécurité informatique. Sans surprise, on ne compte plus les failles qui ont été révélées – et corrigées – dans les navigateurs Web. Reste que 2008 a surtout été marquée par la multiplication des exploitations de failles « zéro day » : sitôt trouvées, sitôt exploitées. Une course encouragée par l’organisation de cybercriminels mûs par l’argent. Et puis il a également fallu compter avec les faiblesses d’un réseau, Internet lui-même, dont les piliers n’ont pas manqué d’être régulièrement menacés.

Maintes fois annoncée cette année, la fin du monde IP n’a pas eu lieu [Enfin, pas à l’heure où sont publiées ces lignes, NDLR]. Mais les annonces ont suffi à rappeler que le risque est bien réel. On se souviendra notamment de la faille des DNS, ces serveurs assurant la conversion entre nom canonique et adresse IP, ou de celle du protocole de routage BGP et encore de celle du protocole TCP lui-même, révélée par Jack C. Louis et Robert E. Lee. Pour certains, tel Jean-Michel Planche, le buzz autour de ces failles va ramener sur le devant de la scène la question de la totale ouverture d’Internet. Cette ouverture est-elle bien raisonnable ?, se demande co-fondateur de Witbe.

Une question d’autant plus prégnante que les zones d’adhérence entre sécurité informatique sur Internet et sécurité des Etats se multiplient. La cyberguerre conduite par des pirates à l’encontre de la Géorgie, au mois d’août dernier, en pleine guerre ouverte entre ce pays et son voisin russe, l’illustre au besoin. De même que la volonté affichée du Président de la République française, Nicolas Sarkozy, de vouloir doter la nation de moyens défensifs et offensifs pour la cyberguerre.

Toujours plus vite

Pour ne rien gâcher, les pirates ont clairement pris, en 2008, un malin plaisir à se montrer toujours plus véloces dans l’exploitation de failles toujours aussi nombreuses. Dès le mois d’août, la division X-Force d’IBM tirait la sonnette d’alarme, soulignant que 94 % des logiciels exploitant des failles de navigateur Web sont diffusés dans les 24 heures qui suivent la publication de la vulnérabilité concernée. Et ces failles n’ont pas manqué d’être nombreuses, jusqu’à une dernière, pour IE7, découverte début décembre grâce… au cheval de Troie qui l’exploite.

A l’issue de l’événement, Michael Howard, expert en sécurité chez Microsoft, s’est d’ailleurs fendu d’un « mea culpa » très argumenté, allant jusqu’à mettre en cause la conception même du navigateur de la firme de Redmond. Mais jeter la pierre au seul navigateur serait restrictif. Pour X-Force, 78 % des attaques concernant les navigateurs Web au premier semestre 2008 visaient en fait des plug-ins.

L’injection SQL, nouveau paradygme du cybercriminel ?

En fait, à entendre les spécialistes de la sécurité, la situation est clairement préoccupante. Art Coviello, le patron de RSA Security, résume ainsi la situation : « les technologies censées nous protéger sont bondées de failles. »

F-Secure, Sophos ou encore Symantec relèvent une progression très rapide du nombre de pages Web infectées et utilisées pour diffuser des logiciels malveillants. Avec une méthode qui semble faire mouche pour déclencher l’infection : l’injection de code malicieux via une requête SQL, par le biais d’un formulaire Web mal sécurisé.

Et la pugnacité et la réactivité des cybercriminels trouvent leur explication dans une motivation éminemment triviale : l’argent. Pour les spécialistes de la sécurité, cela ne fait plus de doute : la cybercriminalité s’est organisée, jusqu’à conduire à l’émergence d’une économie souterraine de plusieurs milliards de dollars. Car les logiciels malicieux sont là pour ça : détourner, sur les postes de travail, des informations personnelles à caractère financier.

Pour en savoir plus :

Avril

RSA Conference 2008 : un constat général d’insécurité

Juin

Défense nationale : Nicolas Sarkozy, généralissime de l’infoguerre

Août

Sécurité : course à la faille monstre autour d’Internet

Faille des DNS : et si le pire était encore à venir ?

Internet libre et ouvert, est-ce bien raisonnable ?

Des pirates diffusent un message anti-géorgien infesté

Géorgie : guerre des communiqués et des communications

Sécurité : des pirates toujours plus prompts à exploiter les failles

Octobre

- Spécial sécurité : la fin du monde IP n’est pas encore pour cette semaine

Décembre

- IE7 vulnérable à des attaques exploitant une faille non corrigée

- Le loup croque IE, c’est la semaine du renard

- Faille IE : Microsoft remet en cause la conception du logiciel

La cybercriminialité devient un business à part entière

Pour approfondir sur Menaces, Ransomwares, DDoS