200 000 failles humaines sans correctif

• Imprimer

Plusieurs attaques massives ont secoué Internet ces derniers temps. A commencer par le « détournement » des résultats générés par certains moteurs de recherche et aboutissant sur une injection iFrame. Le premier spécialiste qui a tiré le signal d'alarme est Dancho Danchev. Quelques heures plus tard, c'est l'équipe McAfee qui publie un billet intitulé « Une autre attaque massive est en train de se préparer ». Cette fois ci, c'est une injection JavaScript qui, explique le blog de l'Avert Lab, pourrait être catapultée par plus de 10 000 sites infectés. Plus grave, ce vecteur de propagation serait lui-même capable d'effectuer un lâcher d'exploits variés, capables de compromettre toute machine moyennement entretenue. 10 000 sites infectés. Voilà un chiffre bien rond et bien marquant. IT News s'empare de l'affaire et titre sur deux colonnes à la hune. A peine l'encre html a-t-elle séché des rotatives php que Dan Goodin du Reg remarque que mêmes les seigneurs du monde antiviral peuvent trainer des casseroles de belle contenance. Ainsi Trend Micro, l'entreprise de la séduisante et bouillonnante Eva Chen, alors en pleine campagne de sensibilisation « anti-jscript », se fait infecter et publie à son tour plus de 20 000 pages faisandées. Le surlendemain, l'Avert Lab fait le point, et estime à 200 000 le nombre de pages web infectées. Deux types d'attaques, l'une exploitant des sites utilisant phpBB et l'autre des « ASP », Actives Server Pages d'origine Microsoft. Ce rapide bilan s'achève par une présentation vidéo qui n'apprendra strictement rien aux habitués des injections de « faux codecs ». Elle pourrait malgré tout servir de leçon à bien des patrons de « response team » qui, sous prétexte qu'un exploit exige une « interaction humaine », minimisent la dangerosité d'une faille technique. Même le plus « aware » des karatékas sécurité qui sommeille en chacun de nous se transforme en un fruit de la famille des Rosaceae, sous-famille des Maloideae, genre Pyrus bien juteuse dès lors que le domaine technique le dépasse. Si la sacrosainte sensibilisation était une science générale exacte, plus un seul garagiste, promoteur immobilier, représentant en brosses-tapis-aspirateur ou parti politique, pas le moindre vendeur d'UTM absolu ou de Firewall infranchissable ne saurait encore nous abuser. Il n'existe aucune différences entre la crédulité d'un usager en butte à un message d'alerte cryptique émis par un ordinateur et cet autre à qui l'on annonce « c'est l'allumage électronique, faut tout changer ».