Hacking sur le Web : rappel sur les règles de sécurité!

Lors des Assises de la Sécurité Informatique, à Deauville, les acteurs du marché ont récapitulé les facteurs d’augmentation des risques pour les entreprises

L’un des facteurs d’augmentation de la vulnérabilité des entreprises ces derniers temps ne serait autre que le passage au « tout IP ». Le second facteur de risque, dans ce même contexte, tiendrait au déploiement d’applications VoIP, lesquelles présentent encore de nombreuses vulnérabilités. Par ailleurs, la cadence de déploiement des logiciels sur le marché n’est pas pour faciliter les choses. Car de nombreuses failles ne sont pas corrigées en temps et en heure, même sur les systèmes offrant de forts niveaux de protection et des mises à jour automatiques. Selon les mêmes sources, -et c’est un argument à l’encontre de l’

open source– la publication des codes sources en environnement ouvert est pain béni pour les ‘hackers’ recherchant ainsi d’autant plus facilement les failles dans les systèmes d’exploitation. Enfin, il faut bien avouer qu’il est extrêmement facile, même pour un novice, de se constituer un véritable arsenal d’outils de hacking, cracking, wardriving, etc. en quelques clics sur la Toile. Trois grands types d’agression Les agressions menées contre les entreprises se répartissent en trois grandes catégories. 1-Infections : virer le virus! Ayant pour objectif d’altérer le fonctionnement des systèmes et des applications, les « infections » sont propagées par les virus ou vers. Leur principal caractéristique, c’est leur capacité d’auto-propagation. C’est désormais plus particulièrement le courrier électronique qui est visé par les vers « troyens » (ou chevaux de Troie) qui transforment les stations en zombies débitant du ‘spam’ dès que possible. Selon les dernières statistiques des éditeurs d’anti-virus, la quasi totalité des entreprises et des particuliers sont touchés par ce phénomène, à des degrés plus ou moins importants. Intrusions : chasser l’intrus! Deux formes d’intrusion sont exploitées actuellement : le cracking, lequel permet de pénétrer par effraction sur le système. Celui-ci ne demande pas forcément une très haute technicité, ceci parce que bon nombre de P.M.E., bien qu’ayant mis en place des coupe-feu, les ont mal paramétrés, les tranformant ainsi en véritables passoires. Le vol de mot de passe ou le déverrouillage de code grâce à des ‘patchs’ sont également une autre forme d’effraction, employée plus particulièrement en matière de « business intelligence » et dorénavant moins en matière de ‘hacking’ pur et simple. De fait, une fois l’entrée du système d’information forcée, l’intrus peut à loisir télécharger les fichiers qui l’intéressent et/ou installer une porte dérobée pour revenir quand bon lui semble sur le système. Les cas de destruction de données sont plus rares et sont généralement le fait de vengeances d’employés indélicats ou revanchards. Les sanctions pénales encourues, lesquelles commencent à être appliquées par les Tribunaux européens, devraient néanmoins en faire réfléchir plus d’un. Destructions : blast it ! On connaît aujourd’hui trois types de destruction : la mise hors fonction, laquelle entraîne une destruction coûteuse (car nécessitant un check-up complet du système et un redéploiement avec perte plus ou moins importante de données), mais toutefois réparable, ne serait-ce que pour revenir dans l’état antérieur du système avant l’attaque. Le problème, c’est que les plans de reprise d’activité existent bien chez les grands comptes mais qu’ils sont purement « papier » et n’ont jamais été testés dans les moyennes entreprises (ne parlons même pas des PME) faute de moyens et de temps. Le déni de service, qui sature le système pour l’empêcher de faire fonctionner ses applications, ou de recevoir ou d’envoyer du courrier (idem pour l’affichage des pages de son site Web) fait flores. Il ne se passe pas une semaine sans que France Télécom ne fasse pas les frais de telles attaques. Le problème est qu’aucune garantie contractuelle n’est actuellement fournie pour réparer les problèmes rencontrés du fait d’un retard important dans la consultation des courriers électroniques. On attend avec impatience le premier procès pour savoir comment évoluera la responsabilité du transporteur dans un tel contexte. Enfin, les effacements de disques durs ou le blocage des cartes mères des ordinateurs touchés est, heureusement, rare. Tout ceci s’assaisonne de plus d’une indéniable poussée des fuites d’informations imputables aux travailleurs nomades. Comme le souligne le Gartner Group, la situation n’est pas faite pour s’arranger, puisqu’en 2005 le nombre de périphériques mobiles équipés de fonctionnalités sans fil dépassera 1,5 milliard d’unités. Par ailleurs, selon Dataquest, les ventes de périphériques mobiles devraient atteindre cette année 52 milliards de dollars. Et pourtant, s’il faut en croire IDC, le marché français de la sécurité informatique n’aura généré que 879 millions d’euros de revenus en 2003, soit une croissance de 16,7 % par rapport à 2002, mais un retard d’équipement d’environ 3 points par rapport au marché mondial. Bref, la sécurité informatique tout comme les pompes funèbres n’est pas prête de connaître de morte saison.