L’état du monde IT : Internet joue à se faire peur

Maintes fois annoncée cette année, la fin du monde IP n’a pas eu lieu [Enfin, pas à l’heure où sont publiées ces lignes, NDLR]. Mais les annonces ont suffi à rappeler que le risque est bien réel. On se souviendra notamment de la faille des DNS, ces serveurs assurant la conversion entre nom canonique et adresse IP, ou de celle du protocole de routage BGP et encore de celle du protocole TCP lui-même, révélée par Jack C. Louis et Robert E. Lee. Pour certains, tel Jean-Michel Planche, le buzz autour de ces failles va ramener sur le devant de la scène la question de la totale ouverture d’Internet. Cette ouverture est-elle bien raisonnable ?, se demande co-fondateur de Witbe.

Une question d’autant plus prégnante que les zones d’adhérence entre sécurité informatique sur Internet et sécurité des Etats se multiplient. La cyberguerre conduite par des pirates à l’encontre de la Géorgie, au mois d’août dernier, en pleine guerre ouverte entre ce pays et son voisin russe, l’illustre au besoin. De même que la volonté affichée du Président de la République française, Nicolas Sarkozy, de vouloir doter la nation de moyens défensifs et offensifs pour la cyberguerre.

Toujours plus vite

Pour ne rien gâcher, les pirates ont clairement pris, en 2008, un malin plaisir à se montrer toujours plus véloces dans l’exploitation de failles toujours aussi nombreuses. Dès le mois d’août, la division X-Force d’IBM tirait la sonnette d’alarme, soulignant que 94 % des logiciels exploitant des failles de navigateur Web sont diffusés dans les 24 heures qui suivent la publication de la vulnérabilité concernée. Et ces failles n’ont pas manqué d’être nombreuses, jusqu’à une dernière, pour IE7, découverte début décembre grâce… au cheval de Troie qui l’exploite.

A l’issue de l’événement, Michael Howard, expert en sécurité chez Microsoft, s’est d’ailleurs fendu d’un « mea culpa » très argumenté, allant jusqu’à mettre en cause la conception même du navigateur de la firme de Redmond. Mais jeter la pierre au seul navigateur serait restrictif. Pour X-Force, 78 % des attaques concernant les navigateurs Web au premier semestre 2008 visaient en fait des plug-ins.

L’injection SQL, nouveau paradygme du cybercriminel ?

En fait, à entendre les spécialistes de la sécurité, la situation est clairement préoccupante. Art Coviello, le patron de RSA Security, résume ainsi la situation : « les technologies censées nous protéger sont bondées de failles. »

F-Secure, Sophos ou encore Symantec relèvent une progression très rapide du nombre de pages Web infectées et utilisées pour diffuser des logiciels malveillants. Avec une méthode qui semble faire mouche pour déclencher l’infection : l’injection de code malicieux via une requête SQL, par le biais d’un formulaire Web mal sécurisé.

Et la pugnacité et la réactivité des cybercriminels trouvent leur explication dans une motivation éminemment triviale : l’argent. Pour les spécialistes de la sécurité, cela ne fait plus de doute : la cybercriminalité s’est organisée, jusqu’à conduire à l’émergence d’une économie souterraine de plusieurs milliards de dollars. Car les logiciels malicieux sont là pour ça : détourner, sur les postes de travail, des informations personnelles à caractère financier.

Pour en savoir plus :

Avril

- RSA Conference 2008 : un constat général d’insécurité

Juin

- Défense nationale : Nicolas Sarkozy, généralissime de l’infoguerre

Août

- Sécurité : course à la faille monstre autour d’Internet

- Faille des DNS : et si le pire était encore à venir ?

- Internet libre et ouvert, est-ce bien raisonnable ?

- Des pirates diffusent un message anti-géorgien infesté

- Géorgie : guerre des communiqués et des communications

- Sécurité : des pirates toujours plus prompts à exploiter les failles

Octobre

- Spécial sécurité : la fin du monde IP n’est pas encore pour cette semaine

Décembre

- IE7 vulnérable à des attaques exploitant une faille non corrigée

- Le loup croque IE, c’est la semaine du renard

- Faille IE : Microsoft remet en cause la conception du logiciel

- La cybercriminialité devient un business à part entière