Les décastrophes 2008 selon R. Stiennon
Richard Stiennon, l'ex-Analyste sécurité du Gartner devenu directeur marketing chez Fortinet, renoue avec ses habitudes et publie sa désormais traditionnelle prédiction des catastrophes probables pour l'année à venir. Ses prévision 2006 pour l'année qui vient de s'achever ne brillaient pas particulièrement par leur « courage » : croissance prévisible des vols d'identité (cela faisait déjà 3 ans que les grands hacks à la sauce Cardsystems occupaient la hune des journaux), croissance des attaques DNS (Bind est une faille dite « faille radis » qui revient à périodes régulières) et absence d'impact majeur suite au lancement de Vista... une constante inébranlable pour qui a un tant soit peut l'habitude de l'inertie du marché Windows. Les prévisions 2008, en revanche, sont nettement plus précises, moins généralistes. On retrouve un peu du Stiennon d'antan, celui dont les éditoriaux et les prises de position provoquaient maintes crises d'urticaires auprès des « dir-com » de toute la planète informatique. Menace numéro un, les risques d'attaques et de diffusion de malware via les « widgets » de Facebook. Ce fantastique global village qui réunit en son sein chefs d'entreprise, grands penseurs de la blogosphèreou ados en mal d'expression est l'objet de nombreuses attaques à base de social engineering. Déjà, avec de tels moyens artisanaux, les résultats sont assez dévastateurs. L'arrivée de mécanismes de compromission « automatisés », ou du moins techniquement assistés, pourrait effectivement donner des sueurs froides aux chasseurs de spywares, rootkits et autres joyeusetés binaires. Encore un risque lié aux réseaux sociaux, avec l'annonce d'OpenSocial de Google. Il s'agit là non pas d'un nouveau venu façon LinkedIn, mais d'un jeu d'API destiné aux développeurs souhaitant construire des applications de « collaboration sociale », autrement dit capables d'aller piocher des données dans les principaux réseaux sociaux et de les exploiter. L'on savait que les principales agences de renseignement exploitaient les fameux arbres relationnels dans le cadre de la lutte antiterroriste, on imagine très bien, avec de tels outils et quelques exploits, ce qu'une entreprise peu scrupuleuse pourrait en tirer. Rappelons qu'OpenSocial est compatible avec les serveurs suivants : Engage.com, Friendster, hi5, Hyves, imeem, LinkedIn, MySpace, Ning, Oracle, orkut, Plaxo, Salesforce.com, Six Apart, Tianji, Viadeo, et XING. De quoi faire frissonner la Cnil. En troisième place, R.Stiennon craint le péril jaune. Le hack de l'ambassade d'Allemagne par ce qui semblerait être l'armée Chinoise (ainsi que les « tests » des firewalls de certains ministères Français) sont la preuve indéniable qu'une menace plane sur nos routeurs. Reste qu'une cybermenace d'envergure nationale, tout comme l'arme atomique, est bien souvent appelée à ne demeurer qu'une mesure de dissuasion. Diplomatie oblige. En termes d'agressivité effective, la guerre économique et le rachat d'entreprises orchestré par l'Empire du Milieu sont hélas considérablement plus dévastateurs. Du moins, pour l'instant. Après le péril jaune, le péril des ex-communistes. Et de remettre en mémoire la cyber-attaque qui a frappé l'Estonie en mai dernier. « I predict that Russia will continue to use their newfound ability to use cyber extortionists' tools to impose their political will on break away states » precise le patron marketing de Fortinet. Un cocktail mi-mafieux, mi-politicard, qui tomberait par hasard d'accord sur les termes d'une alliance objective. Après le macroéconomique, l'on passe au microéconomique, avec une évolution des attaques qui, de très générales, deviennent peu à peu ciblée, jusqu'à ne se porter que contre un seul individu. Cette « optimisation des moyens et des méthodes du cybercrime », cet abandon -relatif- de l'infection à grande échelle et faible pourcentage de ROI, en faveur d'une intrusion précise, à forte probabilité de résultats, est une remarque qui revient de plus en plus souvent dans les écrits des principaux spécialistes du milieu. Cela recoupe notamment en partie le récent rapport publié en ce début de semaine par F-Secure. Autre cible des méchants, les marchés financiers. Ici, tout est possible. Les opérations d'intoxication et de désinformation dans le but de déstabiliser des marchés, le tout accompagné d'éventuelles attaques en déni de service « on peut imaginer, explique Stiennon, des opération en « spear phishing » cherchant à exploiter une faille donnant accès aux portefeuilles des grands brockers. Ceci fait, les avoirs des clients sont liquidés, et le résultat des ventes servent à acheter, à court terme, les parts d'une compagnie très précise, actions qui seront revendues une fois leur cote artificiellement gonflée suite à une action informatique agressive à l'encontre de l'entreprise en question ». Se pose tout de même le problème des transferts de fonds en dehors d'une juridiction américaine ou européenne. Huitièmement, « le monde va enfin comprendre la porté du botnet Storm, qui n'a, jusqu'à présent, jamais été utilisé au maximum de sa puissance ». Neuvièmement, « Terrorist organizations bring out DDoS as a weapon against ecommerce and media sites that choose to display images of Mohamed ». Le spectre du cyber-jihad a frappe mollement par deux fois cette année, et, sur ce point, les analyses de Dancho Danchev paraissent plus objectives que celles de R. Stiennon. Les chinois, les communistes, les islamistes, voilà qui fait un peu beaucoup de cyberterrorisme McCartysant. La dernière et dixième menace qui plane sur Internet pourrait bien venir du monde des consoles de jeu, et plus particulièrement de la Wii. Avec le développement des réseaux de jeux en ligne, une telle armée de zombies serait capable de concurrencer les plus grands des botnets, sans le moindre doute. Il faut dire que, jusqu'à présent, les exactions en ce domaine on essentiellement porté sur des vols de crédence (piratage du réseau Microsoft LiveBox) ou d'objets virtuels valorisé dans des « multiuser dongeons ».