Symantec : Boulevard du crime... et au delà
Bien que revenant comme les radis, les Internet Security Threat Report édités par Symantec se suivent et ne se ressemblent pas. Les deux derniers en date, le « threat report » lui-même et les « chiffres clef », fourmillent de données tentant de donner une image plus « économique » que statistique du crime informatique, tandis que les précédentes édition étaient encore empesées de métriques sur les « taux d'équipement des ménages » et les « pourcentages d'infection par milliers de courriels reçus ». La lecture perd peut-être un peu de son objectivité -certains chiffres frisent l'anecdotique et le difficilement vérifiable-, mais y gagne en intérêt. Frissons garantis à chaque graphique, angoisse du chiffre assurée. Et il faut admettre que la recette plait à la presse.
« Les hackers vendent de l'identité à 14 $ pièce »titre InfoWorld. Brian Krebs, dont le salaire du « Post » doit le mettre à l'abri des fins de mois difficiles, renchéri « Identités volées vendues pour trois fois rien au marché noir » 14 $ la ligne, c'est tout de même parfois 10 à 20 fois plus cher que certains listings « d'adresses qualifiées » refourguées par les moissonneurs d'adresses chinois. Il faut avouer que le retour sur investissement est rapide, surtout si l'identité comporte un numéro de carte de crédit ou de sécurité sociale. De son coté, « celle qui fait et défait les noms de la sécurité », Hellen Messmer de Network World, révèle « les voleurs d'identité marchent main dans la main avec les gardiens de Botnets ». Et de remarquer que, tout de même, le braquage « prêt à l'emploi » n'est pas particulièrement donné : 300 dollars pour un accès direct à un compte en banque en ligne approvisionné de 9 900$, contre 2 $ seulement le numéro de carte de crédit seul et 20 dollars pour la formule complète « nom-prénom, carte de crédit, numéro de compte en banque, de sécurité sociale et date de naissance ». Pour une grosse *, on a droit à un prix ?
Security News, pour sa part, préfère l'angle plus technique du ZDE. Car c'est grâce aux exploits « Zero Day » que ces féroces hackers viennent jusque dans nos bras, égorger nos comptes et nos crédences. Aux larmes, cybercitoyens.
L'analyse la plus mature (mais est-ce réellement une surprise) est signée Dancho Danchev. Lequel s'attache aux conséquences socioéconomiques du rapport. Comment, s'interroge-t-il, peut-on en arriver à voir apparaitre des « Underground Economy Servers », sortes de places de marché quasi officielles ou s'échangent « au poids » ces lots d'identités volées ? Pourquoi ces données sont-elles vendues moins cher qu'un « menu kid » chez McDonald ? Parce que, explique-t-il, malgré la hausse du prix de l'exploit vendu au marché noir, la valeur de l'information dérobée et la méthode pour l'exploiter peuvent perdre toute valeur du jour au lendemain. En moins de 24 heures, une rustine, la fermeture d'un port, la divulgation même de l'information par les canaux habituels peut frapper d'obsolescence cette denrée fragile qu'est une donnée bancaire dérobée.
Danchev fait également remarque que le crime également se converti au commerce des services. En offrant par exemple les bases de données de spam, mais en monnayant le travail de « filtrage », de ciblage des adresses, voir en qualifiant un lot de « victimes potentiellement à haute valeur ajoutée ». Mieux encore, lorsque les véritables criminels revendent pour 300 dollars un accès bancaire qui peut en rapporter 9 900, ce n'est pas de la stupidité, c'est du report de risque. Dans tous les cas un certain « fond de roulement » est assuré, et aucune poursuite judiciaire directe n'est à craindre. Les deuxièmes couteaux servent de cloison étanche et de bouc émissaire. Tout le reste est à l'avenant. La lecture de Danchev le matin, c'est un bol de café serré qui dépare de la soupe des analyses de premier niveau.
Une dernière perle nous est offerte par Symantec. Une perle de franchise, d'objectivité technique à laquelle les précédents rapports, empreints d'une dialectique xylophone ne nous avait pas habitué. Elle concerne les « futures menaces et attaques prévisibles ». Et voici le quinté gagnant des mois à venir :
- Windows Vista
- Windows Vista les logiciels tiers
- Nouvelles methodes et cibles de phishing
- Spam et phishing s'attaquant aux terminaux mobiles
- Virtualisation
Le premier point ne fait hélas aucun doute, les auteurs de malwares et les mafia de l'addware développant des prodiges d'ingéniosité, poussés par la rentabilité promise du vol d'identité. Le second fit également l'objet de communications techniques à l'occasion de la dernière RSA Conference. Quelque soit le niveau d'application et d'attention que les ingénieurs de Microsoft apporteront à leur code, il ne sauront être tenu responsables des « privautés » que se permettront les codeurs de logiciels tiers.
L'évolution du phishing, quand à elle, est malheureusement une certitude inéluctable. Et l'on peut aisément imaginer qu'une fois le secteur des banques en ligne ratissé, les malfrats du binaire cherchent à appliquer cette méthode à d'autres secteurs reposant sur le business Internet : commerce électronique, échanges avec l'administration fiscale, ressources intra-entreprise... la liste est quasi infinie. Imaginer d'ailleurs que ces méthodes s'étendront au monde de la téléphonie n'a strictement rien d'étonnant. Tout, actuellement, est fait, tant par les opérateurs que par les fabricants de terminaux et prestataires de services, pour que de l'intelligence et de la complexité entrent dans les téléphone de enième génération. Et l'on ne peut, c'est là un des principes fondamentaux du darwinisme technique, injecter de la complexité sans ajouter une part d'erreur humaines.
Vient enfin le « meilleur » et probablement le plus savoureux : l'exploitation et le hacking des filières « virtuelles ». Les Citrix, les VMWares, les Virtual Server, les Virtuozzo, les Tarantella et proches cousins font l'objet d'études de plus en plus poussées de la part des principales entreprises. Il suffit, pour s'en persuader, de regarder l'évolution du chiffre d'affaires de certaines de ces entreprises. Et la virtualisation marche souvent de pair avec la concentration des ressources, la collocation des traitements. Donc, pour un pirate, l'opportunité d'avoir « plus » pour une même somme d'efforts. Une attaque en déni de service contre une ferme de serveurs virtualisés peut toucher 10, 20, 30 fois plus de ressources qu'il ne pouvait l'espérer auparavant. Et au prix du processeur « quadri-coeur » et de la démocratisation des gestionnaires smp, il serait surprenant que l'industrie fasse machine arrière. Las, contrairement à ce que l'on connaissait en matière de sécurité réseau, bon nombre d'échanges inter-machines deviennent opaques à l'administrateur, puisque concentrées dans un processus généralement propriétaire. L'informatique « virtuelle » est probablement l'un des prochains grands chalenges des RSSI et des CSO. Il faudra trouver des méthodes, adapter les bonnes pratiques, redéfinir les questionnaires d'audit, et par là même « comprendre » intimement les rouages de ces logiciels complexes.
* Ndlc Note de la Correctrice : Une grosse, c'est 12 douzaines, une mesure ayant encore cours en mercerie et dans le commerce des oeufs, et qui remonte à l'époque anté-révolutionnaire ou l'ensemble des mesures, y compris monétaires, reposait souvent sur un système duodécimal. Accessoirement, s'il faut désormais 10 sous pour faire un franc ou dix cents pour un Euros, nos horloges divisent encore la journée en 12 heures et notre année en 12 mois. Les pays anglo-saxons estiment que le système métrique, c'est pas le pied. (ou le pouce... selon).