Les menaces principales selon trois éditeurs de logiciels de sécurité
Trois éditeurs spécialistes de la sécurité, dont les offres sont complémentaires, ont tenu une conférence sur l'état des menaces visant les systèmes d'information. Ils mettent l'accent sur le vol d'informations sur les PC. Les éditeurs de logiciels de sécurité, F-Secure, SkyRecon et Stonesoft, ont tenu une réunion commune à Paris le 4 septembre 2008 afin de présenter leur vision de l'état des menaces visant le système d'information et la manière d'y répondre. « Les exploits d'adolescents cherchant à pénétrer un système pour la beauté du geste ont quasiment disparu. Désormais, la tendance est à l'activité criminelle avec un objectif financier, a tout d'abord affirmé Olivier Mouly directeur chez F-Secure. Les utilisateurs restent peu conscients de la valeur des données conservées sur leurs PC. La principale menace n'est plus la destruction de ces informations par des virus traditionnels, mais la prise de contrôle des PC (transformés en zombies) soit la captation des données (mots de passe enregistrés dans le navigateur, adresses de courriels...) par des outils ad hoc. « Aujourd'hui, au marché noir, les mots de passe pour les jeux en ligne coûtent plus cher que ceux pour des banques car une opération frauduleuse sur des jeux est moins risquée et plus rentable que sur une banque. Nous avons ainsi vu des crackers (mal) jouer avec des comptes de poker en ligne de victimes pour récupérer leurs mises, raconte Olivier Mouly. « La prise de contrôle de PC par des bot.net pour en faire des zombies est la grande tendance, estime également Ravy Truchot président de SkyRecon. Mais il ajoute : « Il ne faut pas oublier la perte d'informations lors de la perte de supports physiques non chiffrés (CD-ROM, clés USB...) ou via des vers. Nous avons ainsi vu les données de 8 millions de clients de la chaîne Best Western de la période 2007-2008 récupérées grâce à un virus spécialement conçu pour cette opération et donc absent des bases de signatures. » L'une des technologies proposées afin de bloquer les virus inconnus ainsi que les autres techniques de captation de données, consiste à verrouiller les droits beaucoup plus finement que ce que permet un système d'exploitation. « On peut n'autoriser l'ouverture des fichiers . pst (NDLR :fichiers contenant la base de données des emails sous Exchange) que par le seul Outlook à l'exclusion de tout autre logiciel, indique Ravy Truchot. Face aux risques, il est possible de s'attacher aux flux réseaux eux-mêmes. Laurent Boutet , ingénieur avant-vente chez Stonesoft, mentionne : « On peut très bien interdire les flux HTTPS à l'exclusion de certains sites identifiés : un pirate va en effet privilégier de tels flux cryptés dont l'analyse est délicate par les outils de sécurité. » Mais il y a alors une grosse difficulté qu'il concède volontiers : « pour combattre l'anomalie, il faut connaître la normalité », c'est à dire ce qui doit être autorisé car conforme à l'usage souhaité des postes de travail ou des serveurs. Selon les trois éditeurs, la complexité des menaces implique de multiplier les produits de sécurité complémentaires tels que les leurs. Cette multiplication de produits qu'il faut installer sur un réseau afin d'être correctement protégé - même si chacun a tendance à mordre sur le territoire du voisin -, soulève la question traditionnelle de la difficulté de l'administration. Une console SIM (Security Information Manager) unique pour le pilotage de l'ensemble des sécurités demeure le rêve des administrateurs de parc. Cela suppose de définir, par delà les rivalités entre fournisseurs, un certain nombre d'interfaces communes. L'affaire semble toujours aussi mal engagée. Car, si les techniciens arrivent à se parler, on ne peut apparemment pas en dire autant des directions des éditeurs. « Chaque éditeur veut que ce soit sa console qui prime sur les autres » ont regretté dans un bel ensemble les trois représentants des éditeurs. Mais une console unique ne serait-elle pas à son tour un point de fragilité facile à pirater pour démonter toute la sécurité d'un système d'information ? « L'objectif est surtout de centraliser la remontée d'alertes, conclut Laurent Boutet.
