Microsoft : les élémentaires du cher Watson
Londres, RSA Conference : Ben Fathi, CVPDWCOSDSTU *, débutait ses « RSA Conference Keynotes » par le constat suivant : des années durant, les pirates, les auteurs de malwares se sont attaché à compromettre l'intégrité des S.I. en exploitant les défauts des systèmes d'exploitation. Mais avec l'arrivée de Vista et les efforts prodigués par Microsoft dans le cadre de sa politique Trustworthy Computing (informatique digne de confiance), les moyens d'attaque se réduisent comme peau de chagrin.
Mais cela n'a en rien affecté les pirates...
Car, explique le patron « sécurité noyau Windows » de Microsoft, le théâtre d'opérations s'est simplement déplacé sur un autre terrain, impossible à patcher, toujours aussi exploitable : l'utilisateur lui-même. Pour preuve, une récente étude commandité par Microsoft, qui montre une progression de 150 % des attaques en phishing -l'on a atteint près de 31,6 millions d'emails de phishing durant la première moitié de l'année 2007. En formidable croissance également -plus de 500 %- les « troyens downloader », qui téléchargent à leur tour des programmes de récupération de mots de passe et autres keyloggers. Vol d'identité est social engineering sont les deux mamelles du piratage contemporain. Ces différentes métriques, nous indique Roger Halbheer, chief security advisor Microsoft EMEA proviennent de plusieurs outils. A commencer par l'analyse des multiples rapports des envois « Docteur Watson », par les réseaux de honeypot actifs -les actives monkey virtuels- que l'éditeur a installé... Hélas, bien que cette analyse du volume de la sinistralité mondiale puisse situer, région par région, l'origine des victimes, elle ne peut en revanche pas distinguer l'origine de ces attaques et ne fournit aucune statistique par pays de l'évolution du phishing par exemple. Un détail qui eut été indiscutablement intéressant, compte tenu de l'extraordinaire disparité des résultats que l'on peut empiriquement constater entre ce qui se passe en Grande Bretagne, en France, en Italie, en Allemagne....
Un tout autre sondage, continue Ben Fathi, conduit cette fois par l'institut Ponemon auprès de 3600 responsables des données privées, du marketing et de la sécurité. En d'autres termes, ceux qui exploitent les données nominatives, ceux qui les protègent et ceux qui les gèrent. Précisons que l'étude n'a concerné que des entreprises US, britanniques et allemandes.
Et les conclusions ne surprendront personne : plus les relations entre service marketing, sécurité et « vie privée » sont distendues, plus les risques sont accrus. Des personnes sondées avouant ne pas entretenir de relations étroites entre ces trois départements, 74 % d'entre elles ont fait les frais de pertes de données. Ce chiffre tombe à 29% lorsque les gens de l'opérationnel, les RSSI/CSO, les « monsieur Cnil » ou équivalent échangent entre eux des informations susceptibles de mettre en évidence des disfonctionnements. Reste, semble monter une toute autre partie de l'étude, que la branche « business » est peu encline (30% des cas seulement) à consulter les spécialistes de la protection des systèmes ou des données, alors que les « techniciens » sont, pour leur part, très demandeur. La faute, explique Ben Fathi, au morcellement hiérarchique, la faute au fait que chacun « rapporte » généralement à une personne différente selon le service concerné, provoquant ainsi une dispersion des échanges et par conséquent une détérioration des dialogue et un accroissement des risques.
* NdlC Note de la Correctrice : Ce charmant monsieur à la barbe grisonnante porte de titre exact de « Corporate Vice President of Development, Windows Core Operating System Division, Security Technology Unit (STU) ». Juré, c'est le couper-coller de sa fonction exacte, tout droit issu du communiqué de ma copine Severine (entre femmes, faut bien s'entraider). Par pitié pour nos très chers lecteurs, j'ai donc pris la liberté de faire réduire à feu doux cet impressionnant curriculum par le sigle CVPDWCOSDSTU. Ce qui n'est certes par plus clair, mais nettement plus digeste.
