Bilan Sans: L'humain, la VoIP, les ZDE, nouveaux vecteurs des malwares
Comme l'exige la tradition, le Sans Institute publie son rapport 2006 sur la sinistralité informatique. Ce qui baignait encore dans une certaine incertitude l'an passé est devenu tangible durant ces derniers mois. A commencer par une intensification des attaques sortant du cadre traditionnel de l'informatique informaticienne. L'élément humain, par exemple, est « travaillé » par des opérations de phishing et surtout de spear phishing, manoeuvre d'intoxication touchant un petit groupe de personnes très précis. C'est là, on s'en doute, le retour aux bonnes vieilles valeurs et techniques de l'espionnage industriel, de l'escroquerie ciblée qui ont fait les grandes heures de la truanderie « de papa ». Attaque humaine, encore, avec l'exploitation de failles affectant les équipements VoIP de plus en plus utilisés par les opérateurs alternatifs et Fournisseurs d'Accès ADSL. Là, précise le Sans, on constate bel et bien des tentatives de spamming audio, pollupostage reposant sur des attaques transversales exploitant les défauts de « jointure » existant entre les réseaux de la téléphonie traditionnelle et ceux véhiculant de la voix sur IP. Mais le cri d'alarme le plus retentissant concerne la brusque montée en puissance des « ZDE », ces attaques Zero Day que ne peuvent bloquer les principales passerelles de sécurité, faute de signature connue ou de descriptif comportemental. Prudent, l'Institut tente d'exhiber quelques preuves d'attaques étrangères. Et c'est la Chine qui sert de bouc émissaire. Ce pays qui possède le code source de Windows, et qui ne fait rien pour faire respecter les droits de propriété intellectuelle. Le péril jaune serait donc provoqué par des fuites affectant les « Microsoft Partners » de l'Empire du Milieu. C'est aller un peu vite en besogne. Il y a également un an, CSOFrance signalait une toute autre tendance, celle consistant à monétiser la découverte de failles. Ce que les Mozilla Foundation, les Zero Day Initiative et autres organismes de sécurité pratiquent -en l'occurrence une « prime au bug » découvert et signalée à l'éditeur sous le sceau du secret- d'autres organisations, nettement moins scrupuleuses, le pratiquent également. Et que le pondeur de lignes C soit chinois ou guatémaltèque n'a que peu d'importance. Le résultat est que le cours de la faille active connaît une forte hausse sur le marché des grands diffuseurs de spam, spywares et autres « gardiens de troupeaux de Bots ». Moins commentées, toujours aussi appréciées, les failles touchant les applications Web sont toujours exploitées avec autant de constance. Notamment par les grands spammers, pour qui la transformation d'un forum d'ado en usine à diffuser du pourriel est avant tout une question d'équilibrage de charge. Les trous PHP, par exemple, constituent autant de points d'entrée offrant aux pirates soit l'usufruit de la puissance du serveur, soit la promesse d'une récolte d'identités monnayable sur -encore- le marché du spam. Le Top 20 des attaques Internet selon le Sans Systèmes d'exploitation/noyaux 1. Internet Explorer 2. Bibliothèques de fonctions Windows 3. Microsoft Office 4. Services Windows 5. Problèmes de configuration Windows 6. Mac OS X 7. Problèmes de configuration Unix Applications Cross-Platform: 8. Applications Web 9. SGBD 10. échanges P2P 11. Messageries Instantanées 12. Lecteurs Multi-Media 13. Serveurs DNS 14. Logiciels de sauvegarde 15. Serveurs d'administration Sécurité, d'annuaires et d'entreprise Composants Réseau 16. Serveurs et terminaux VoIP 17. Réseaux et autres faiblesses de paramétrage Politiques de sécurité 18. Droits d'utilisateur trop élevés, équipements montés en "perruque" 19. Utilisateurs victimes de phishing et spear phishing Hors classement 20. Attaques Zero-day