Après l'attaque Google : se passer d'Internet Explorer, plus facile à écrire qu'à faire 

Adobe, Google, Juniper, Rackspace, Yahoo : outre-Atantique, la liste des entreprises victimes d’attaques en provenance de Chine - comme l’indique le rapport de iDefense (filiale de Verisign) - exploitant une faille d’Internet Explorer s’allonge. A la veille du week-end, l’onde de choc s’est matérialisée en France par un bulletin d’alerte du Certa, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques - dépendant de l’Anssi (Agence nationale de la sécurité d’information) -, déconseillant d’utiliser Internet Explorer, au profit de navigateurs alternatifs (comme Firefox par exemple). L’agence précise qu’il est "fortement conseillé de naviguer sur l'Internet avec un compte utilisateur aux droits limités" et préconise "la désactivation de l'interprétation de code dynamique (JavaScript, ActiveX, ...). De plus, l'activation du DEP (Data Execution Prevention) peut limiter l'impact de cette vulnérabilité".

“Ces recommandations ne sont pas à prendre à la légère, mais il ne s’agit pas d’une nouvelle cyberguerre”, commente Jean-Philippe Chaput, chargé de communication à l’Anssi. “Le choix de navigateurs alternatifs constitue une réponse intermédiaire, le temps que Microsoft comble ladite faille.” Un rappel des bonnes pratiques, en somme. D’autant que “ce n’est pas la plus grave faille sur laquelle le Certa a émis une alerte”.  L’Agence souligne également ne pas avoir eu vent de victimes françaises à ce jour.

Un exploit dans la nature

Et pourtant. Si les entreprises françaises n’ont pas le même devoir de divulgation d’attaques que leur homologues américaines, la menace paraît bien concrète  depuis que la publication du code censée exploiter la faille en question (ou exploit). Une vulnérabilité, toujours non-comblée par Microsoft, rappelons le.

Selon Alain Thivillon, directeur technique du cabinet spécialisé en sécurité Hervé Schauer Consultants, le Certa joue effectivement son rôle en émettant ce bulletin.  "[ ...] Leur réponse - celle de désactiver Javacript et ActiveX - apparait toutefois automatique. Désactiver ActiveX est judicieux mais de nombreuses applications d’entreprises reposent sur ces composants. Dans le cas de Javascript, il est difficile de naviguer sans avoir recours à cette brique technologique”, souligne-t-il. Il ajoute que si les grandes entreprises disposent de moyens pour évaluer la menace, “les sociétés les plus exposées sont certainement les PME qui ne disposent pas de véritable compétences internes en matière de sécurité”. Bref, la mise en œuvre de ladite recommandation est loin d'être triviale.

Sans compter qu'elle ne constitue en rien une assurance tout risque.  “Si IE est pointé du doigt, les autres navigateurs Internet comme Firefox ne sont pas à l’abri de failles, remarque Alain Thivillon. Les navigateurs, aujourd’hui des composants logiciels complexes avec nombre de plug-in, sont devenus les seules portes d’entrées”.

La SNCF met à jour ses anti-virus

De son côté, Sylvain Thiry, RSSI de la SNCF, explique que les équipes opérationnelles du groupe ont mis en place des mesures suite à l’alerte, mais que cette dernière a été traitée de façon assez classique. Comprendre qu'elle n'a pas déclenché un dispositif de gestion de crise, comme le groupe avait pu le faire avec le ver Conficker. La SNCF, après avoir intégré l’alerte dans ses processus internes de sécurité (et ainsi évalué et qualifié l’alerte), a opté pour une mise à jour des signatures des antivirus qui, une fois réalisées, “sont poussées vers les postes de travail”.

Pas de modification du paramétrage du navigateur donc - la SNCF utilise une ancienne version d’IE -, qui aurait influé sur les applications métiers, et par voie de conséquence, sur la production. Le groupe se dit aujourd’hui protégé par ces seules mises à jour des antivirus, mais n’a toujours pas de solutions en place pour ses passerelles Internet.