RSA Conference 2008 : un constat général d'insécurité

Pour les optimistes qui pensent encore que l'Internet peut être sécurisé, la première journée de la RSA Conference a sans doute été un grand exercice de déprime. D'emblée, Art Coviello, le patron de RSA Security, désormais filiale d'EMC, a donné le ton en lançant un appel aux gouvernements pour qu'ils renforcent leurs efforts en matière de lutte contre la cyber-criminalité. "Une tempête parfaite s'est formée autour de nous", a expliqué Coviello lors de son discours d'ouverture, assimilant la sécurité sur Internet à un jeu de roulette russe. "Les technologies censées nous protéger sont bondées de failles" a ajouté Coviello, dénonçant au passage des produits qui sont parfois bien loin de tenir leurs promesses.

John Thomson, le Pdg de Symantec, n'a guère été plus rassurant en expliquant que 70% des malware créés en 2007 avaient pour but de dérober des informations personnelles. Détaillant les pratiques des réseaux criminels souterrains, Thomson a estimé qu'ils sont désormais organisés comme une économie parallèle avec ses règles, ses rôles... et ses prix. Ainsi un compte eBay se vendrait 8 $, tandis que les informations de connexion à un compte bancaire seraient facturées 1000 $. Le prix du numéro de carte bancaire est en revanche en baisse, à 40 cents. Si le prix reflète la loi de l'offre et de la demande, cela en dit long sur le volume de l'offre...

Pas de sécurité pour les machines virtuelles

Le pire est que des technologies mises en avant comme étant une solution potentielle à certaines attaques ne sont plus à l'abri. Sur son blog "InvisibleThings", Joanna Rutkowska, connue pour ses travaux sur la sécurité des environnements virtuels, publie ainsi le code de son dernier exploit, baptisé New Blue Pill (une allusion à peine voilée à Matrix), qui permet de compromettre intégralement une machine virtuelle Virtual PC depuis le système hôte Windows. Rutkowska explique que son concept d'attaque permettrait aussi de compromettre une machine virtuelle VMWare. Gageons que chez l'éditeur, une petite armée de développeurs vient de passer une mauvaise nuit en examinant le code de Rutkowska.

Vers la fin de l'anonymat sur Internet ?

Sans se faire d'illusion sur l'efficacité des systèmes classiques de défense face aux menaces internet, les éditeurs ne sont toutefois pas prêts à les abandonner. Après tout Firewall, IPS et Antivirus ont leur utilité. Ne serait-ce que pour le compte d'exploitation desdits éditeurs... Mais l'accent est désormais sur la protection des données et sur les questions d'identité. Côté défense, des technologies comme la gestion des droits numériques (DRM) ou la lutte contre la fuite de données (DLP ou Data Leakage Prevention) ont le vent en poupe pour empêcher la sortie d'informations sensibles de l'entreprise. C'est par exemple l'un des nouveaux fers de lance de WebSense.

Le débat sur l'identité ne fait quant à lui que commencer avec en toile de fond un vrai débat émergent sur la fin l'anonymat absolu sur Internet. Lors du salon Microsoft a ainsi publié un livre blanc mettant en avant les pistes préconisées par le géant pour renforcer la sécurité sur Internet. Au programme, une généralisation de l'usage des signatures électroniques, mais aussi l'introduction d'une bonne dose d'identité dans l'Internet. Et le géant d'insister sur le fait que le livre blanc n'est qu'un catalogue de propositi ons mises au débat, et pas une stratégie.