Sur le Web, l'insécurité concerne désormais même les sites légitimes
Le Web n’est plus l’endroit sûr qu’il fut un temps. Pour IBM, et sa division sécurité ISS, on assiste même, depuis près de deux ans, à une véritable « explosion » des risques liés au Web. Une analyse partagée par l’éditeur Kaspersky qui relève une nouveauté : « il y a quelques années, il fallait visiter des sites pirates pour se faire infecter ; désormais, des sites parfaitement légitimes sont compromis. »
La branche recherche de la division d’IBM, l’X-Force d’ISS, vient de rendre son rapport de milieu d’année. Son bilan n’est pas très rassurant. Certes, « le nombre de nouvelles vulnérabilités découvertes au cours du premier semestre est au plus bas niveau depuis 4 ans, et le nombre de nouvelles vulnérabilités très dangereuses est en recul de près de 30 % sur un an. » Mais il s'agit là d'une bonne nouvelle en trompe l'œil. Pour Loïc Guézo, directeur technique de la division sécurité d’IBM, ISS, en France, « l’une des conclusions principales de ce rapport, c’est que le Web est devenu un espace d’insécurité. C’est sur lui que doivent se porter les efforts et les attentions des entreprises en matière de sécurisation. La moitié des vulnérabilités découvertes au premier semestre 2009 sont liées aux applications Web et c’est clairement vers là que les efforts des pirates se tournent. » Un constat que partage Roel Schouwenberg, chercheur en virologie dans les équipes américaines de Kaspersky : « le changement, c’est qu’il y a quelques années encore, il fallait consulter des sites pirates pour se faire infecter ; désormais, les sites légitimes sont compromis. »
Une remarquable porte d’entrée sur le poste de travail
De fait, le Web constitue une porte ouverte sur les postes de travail. Roel Schouwenberg relève ainsi que « les méchants peuvent tirer parti de nombreuses vulnérabilités. D’abord sur le serveur Web – mots de passe peu sûrs, failles, injections SQL, etc. L’injection d’un simple petit bout de script dans une page Web suffit à forcer une connexion automatique vers un site malicieux. Mais les attaques zéro day sont de plus en plus utilisées, visant des sites précis. Même un utilisateur un peu novice peut acheter un pack exploit et l’installer sur un site Web ; ça lui coûtera de 75 à 3 000 $. »
Sécuriser, c'est aussi communiquer |
Récemment, outre Atlantique, un tribunal a autorisé des poursuites à l’encontre d’une banque pour le piratage d'un compte de clients. Pour Loïc Guézo, il est clair que la responsabilité des fournisseurs de service est de plus en plus susceptible d’être engagée en cas de défaut de sécurité manifeste : « c’est un problème de qualité du logiciel », notamment pour les attaques par injection SQL. Et de relever, aussi, que « certaines initiatives, pourtant très anciennes comme DNS Sec, ne sont pas mises en œuvre. » Peut-être faudrait-il aussi un peu plus de vigilance : « comme l’a rappelé le Colonel Stanislas de Maupéou, chef du Certa (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques), lors des Assises de la Cybercriminalité de Lille, au printemps, "en France, nous avons un taux de détection des attaques globalement plus faible qu’au Royaume-Uni ou en Allemagne. On a l’impression qu’il ne se passe rien simplement parce que l’on ne le voit pas". » |
Cliquez pour dérouler |
La prévention d’intrusion, sur le poste de travail
Outre la sensibilisation, Loïc Guézo et Roel Shouwenberg se rejoignent pour évoquer la protection du poste de travail, par des dispositifs de prévention d’intrusion (IPS), directement sur le PC. Une protection d’autant plus nécessaire, selon eux, que les DSI sont soumises à la pression des utilisateurs, notamment pour accéder à des sites dits Web 2.0, comme ceux des réseaux sociaux.
Et Loïc Guézo de se souvenir de quelle manière les directions informatiques ont progressivement mais continuellement reculé face à cette pression, que ce soit pour l’accès aux lecteurs de disquettes, de CD, aux clés USB, à la messagerie électronique… : « le domaine contrôlé n’a pas cessé de se réduire. Mais lorsque la DSI ouvre un nouveau domaine, elle doit le maîtriser. » Une question d’autant plus sérieuse avec le Web social qu’un Facebook, par exemple, compte plus de 25 000 applications tierces. Un processus de vérification a été lancé en 2008, après qu’un premier malware – ou plutôt une preuve de concept – a été découvert. Mais, en mai 2009 par exemple, seulement 120 applications avaient été vérifiées, selon Kaspersky.