|
sécurité
7. Et demain, quelles attaques ?
Jérôme Granger, José Roda et Jérôme Saiz,
L'Ordinateur Individuel (n° 203), le 28/03/2008 à 07h00
|
Comment serons-nous attaqués demain ? En sécurité comme ailleurs, la prédiction est un exercice périlleux. Mais les tendances majeures sont déjà bien visibles et elles permettent de dresser le portrait des attaques
attendues pour 2008.
Le Web, source majeure d'infections
Fini les parasites reçus par e-mail. En 2007 déjà, les principaux éditeurs d'antivirus notaient que le Web avait détrôné le courrier électronique comme principale source d'infection. Et deux affaires majeures sont venues
illustrer cette tendance lourde. En Italie, plus de 10 000 sites furent détournés l'an dernier par un groupe de pirates.
En installant sur chaque site une copie du kit d'infection MPack (vendu 700 dollars$ par correspondance), les pirates laissaient ces sites victimes infecter eux-mêmes leurs visiteurs. Cette attaque, qui exploitait une série
de vulnérabilités afin d'installer des parasites publicitaires et autres bots destinés à détourner l'ordinateur, toucha des sites gouvernementaux, bancaires ou touristiques qui avaient tous pignon sur rue et auxquels tout le monde faisait
confiance.
Plus récemment encore, au début de l'année, plusieurs centaines de sites légitimes étaient mystérieusement détournés. Leurs administrateurs, et jusqu'à des experts dépêchés par plusieurs éditeurs de solutions de sécurité, se
sont révélés incapables de déterminer initialement comment les serveurs avaient été compromis. Et, surtout, comment ils étaient à nouveau infectés après avoir été nettoyés. Ces serveurs déposaient sur l'ordinateur de leurs visiteurs un code
malveillant en JavaScript, doté d'un nom aléatoire et totalement invisible.
Et pour cause : les parasites n'existaient qu'en mémoire du serveur et étaient ajoutés à la volée sur les pages envoyées aux visiteurs. Aujourd'hui encore, le mystère n'est pas entièrement résolu, bien que l'on ait
successivement soupçonné un module Apache vulnérable puis le vol massif de clés SSH chez l'hébergeur des sites concernés.
La multiplication des sites communautaires façon Web 2.0 vient accentuer également cette tendance en favorisant les contenus contaminés publiés par des internautes et capables d'infecter le reste de la communauté, comme l'ont
démontré les vers sur MySpace.
Les rootkits se banalisent
Terriblement efficaces pour dissimuler un code parasite sur l'ordinateur, les rootkits étaient l'année dernière encore (relativement) exotiques. Ils sont en passe de devenir l'équipement standard installé par défaut dès la
première infection, avant d'aller télécharger les codes malveillants eux-mêmes.
Avec la montée en puissance des infections via les pages Web, JavaScript était déjà très présent comme support d'infection. La multiplication des sites Web 2.0, et donc d'Ajax, va probablement rendre ce langage
incontournable pour les auteurs de virus. Ajax cache de nombreuses interactions entre la partie visible du navigateur et le serveur, permettant de jouer de multiples tours tels que le vol de cookies, le détournement de sessions, etc.
Des bots encore plus résistants
Les bots, ces programmes chargés de détourner les PC afin de les contrôler, sont encore assez simplistes : leur architecture très centralisée permet de neutraliser un réseau de bots
(botnet)
aisément.
Mais la communauté pirate planche depuis quelques années sur des bots décentralisés, à l'image du peer-to-peer. Le parasite Peacomm, apparu en 2007, exploite, lui, le réseau P2P Overnet pour être plus résistant. Et il ne sera probablement pas le
dernier.
Olivier Caleff, directeur technique Sécurité (Devoteam Consulting)
OI : Selon vous, où se situent les risques pour les mois à venir ?
Olivier Caleff :
La montée en puissance des applications dites Web 2.0 apporte son lot de dangers potentiels. Facebook a récemment fait parler de lui avec Secret Crush dont le comportement évoquait celui
d'un spyware. Pour utiliser la plupart de ces extensions, il est nécessaire de leur donner accès à toutes les données que vous avez mis dans votre profil. Parmi ces applications, combien d'entre elles sont sûres ? Développer sur Facebook est à
la portée de quasiment n'importe quel informaticien...
Faut-il se méfier du Web 2.0 ?
Ni plus ni moins que de toute nouvelle technologie émergente où les développements sont accélérés et les mises en ligne rapides. Qui sait combien de ces solutions passent avec succès de véritables tests de validations
fonctionnelles ou de sécurité ? Connaissez-vous assez bien les gestionnaires de ces nouveaux services pour leur confier vos contacts, voire certains de vos identifiants de mails ou de messagerie instantanée ? Le manque de recul face à ces
nouveaux services a déjà réservé quelques mauvaises surprises à certains.
Peut-on se protéger ?
Il faut des fondations saines, avec un système d'exploitation, un antivirus et un navigateur Web à jour. Antispywares et pare-feu sont plus qu'appréciables. Mais il est tout aussi important d'être sensibilisé aux risques
pour ne pas faire n'importe quoi. Aucune solution ne peut prévenir efficacement contre l'inconscience des utilisateurs.
