Spécial sécurité : shérif, fais-moi peur (avec quelques chiffres)

Sommaire :

1 - Sécurité des entreprises, shérif fais-moi peur (avec quelques chiffres)

2 - Verizon offre ses outils d’analyse

1) Sécurité des entreprises, shérif fais-moi peur (avec quelques chiffres)

L’un des domaines les plus épargnés par la crise semble être celui des statistiques sur la sinistralité informatique. Ce mortier avec lequel l’industrie de la cyberprotection fait des affaires prend, ces temps-ci, des airs de requiem. Les sites Web dangereux, par exemple, ont vu leur nombre croître de 182 % nous affirme une étude de MessageLabs. A l’origine de cette inflation, les botnets Grum et Rumstock. L’intervention de Microsoft contre les sites de la filière Waledac n’aura eu que peu d’effets, le pic d’activité de ce botnet ayant culminé durant le mois de janvier. Le spam, quand à lui, est en constante baisse. Baisse essentiellement volumique, puisqu’en terme de nombre d’emails expédiés, ce serait plutôt le contraire. La raison ? L’hébergement des images sur des sites distants. En diminuant le volume de chaque pourriel, les polluposteurs peuvent en expédier beaucoup plus à la minute. Simple logique stakhanoviste.

Encore des chiffres à ne pas lire avant de s’endormir : les métriques des logiciels vulnérables. Selon Veracode, qui a reposé son analyse sur 1 600 programmes Open Source, outsourcés et propriétaires, 58 % des logiciels utilisés en entreprise sont susceptibles d’être la cible d’une attaque à grande échelle. Dans certains secteurs, ce taux peut même grimper à 88 %. Seuls les domaines de la finance et des institutions gouvernementales semblent mieux logés, avec « plus de la moitié » des dotations logicielles capables de passer avec succès les premiers tests de qualification de sécurité choisis par Veracode. Le dernier chiffre déprimant de ce début de semaine nous est offert par BitDefender, chasseur de virus professionnel, qui publie chaque mois un hit parade des malwares les plus actifs. 9 % des infections du mois de février l’ont été à cause du dénommé Trojan.AutorunInf.Gen. Un vecteur de propagation peu original, qui saute de disque amovible en clefs USB ou cartes mémoire. Un triste remake des « virus disquette » qui ne connaissent pas IP ou les partages SMB. Ce qui prouve que la sophistication technique n’est pas toujours synonyme d’efficacité. Le second sur la liste, avec 6,24 % des attaques, est le tristement célèbre et presque ancestral Downadup, alias Conficker, dont on ne parvient toujours pas à se débarrasser. En troisième et quatrième place, respectivement à 5,13 et 4,21 % des infections constatées, l’on retrouve Exploit.PDF-JS.Gen et Exploit.PDF-Payload.Gen, deux codes malveillants qui tirent profit des imperfections de code d’Adobe, lesquelles ont très souvent fait la manchette des journaux durant les mois de décembre et janvier dernier.

Un dernier chiffre-catastrophe : 100. C’est le nombre supposé d’entreprises qui auraient été attaquées avec succès par l’opération chinoise « Aurora » dont ont été victime Google et Adobe. Des chiffres avancés par le patron de la société Isec Partners, et très éloignés des quelque « 25 victimes supposées » lorsque les faits ont été révélés. Isec en profite pour publier une sorte de « checklist » à l’attention des entreprises pouvant craindre de telles tentatives de pénétration. 6 pages de conseil au fil desquelles on se rend rapidement compte que la majorité des entreprises auront beaucoup de mal à en suivre les grandes lignes. «  Consider an external Forest with a two-way trust for remote offices  »… «  Deploy read-only domain controllers in overseas offices »… Jouer avec les ADS est un sport de combat déjà éprouvant dans le cadre d’un seul domaine. S’amuser à jongler avec des forêts est encore moins à la portée du premier venu. D’autres conseils, tels que celui visant à concaténer au maximum tous les logs – IDS, Proxys, accès Web, login SSH, etc. - sous-entend la présence d’une équipe compétente et surtout disponible… rien n’est plus harassant que de fouiller dans des journaux d’événements à la recherche d’une éventuelle trace d’intrusion. Si l’on excepte effectivement des entreprises de la taille de Google ou d’Adobe, bien rares sont les sociétés qui ont eu ou qui auront à la fois le courage, les moyens techniques et humains et la conscience du risque réel face à une nouvelle attaque Aurora. Il est fort probable que ce blitzkrieg informatique ait touché plus de sites informatiques que ne le laissent supposer les premières estimations, mais le fait risque d’être difficile à prouver.

2) Verizon offre ses outils d’analyse

Il y a quelques mois Verizon décidait de publier régulièrement des statistiques sérieuses sur l’état des menaces informatiques. Des statistiques qui se veulent moins marketing que des indicateurs de risques en presque temps réel. Mais bien que publiant, en début d’ouvrage, les méthodologies d’échantillonnage ayant servies à l’établissement de ces métriques, il planait toujours un doute sur la typologie des informations collectées. C’est pourquoi Verizon offre à qui veut bien l’utiliser son «  Incident Metrics Framework », 60 pages aussi indigestes qu’indispensables, qui placent dans un contexte précis chaque sinistre. De l’origine géographique à la date exacte, de la cause supposée aux conséquences immédiates, le moindre indice y est topographié. Le seul ennui, c’est que ce document ne constitue pas un véritable RFC, et que l’on voit mal les concurrents de Verizon adopter ce modèle et partager ainsi le résultat de leurs compilations. Cela demeure toutefois une méthode applicable en « interne ». Le jour même de la publication de ce gabarit d’enquête, Verizon ouvrait un forum d’entraide sur ce même sujet. Le nombre de contributions y est pour l’instant proche de l’inverse de l’infini…