Recap 2006 : Sécurité à tous les étages !

Faille dans les navigateurs et dans les OS, publication de patchs buggués, progression du phishing et du spam par image, vol de PC et récupération de données personnelles sensibles, 2006 n’aura pas dérogé à la règle: les problématiques de sécurité sont de plus en plus critiques….

L’année a également été marquée par la disponibilité de nombreuses nouveautés, Vista, IE7, Firefox 2.0 et bien d’autres.

Du coup, du point de vue sécurité, 2006 aura été chargée. Avec la découverte de nombreuses failles dans les produits de Microsoft, et de quelques-unes chez Apple. Enfin, les services de messageries instantanées et les sites communautaires de partage de vidéos sont des cibles de choix pour les hackers.

Notons également que le comportement des cybercriminels a évolué vers des attaques ciblées et un goût évident pour la récupération de données personnelles.

Evoquer toutes les failles, toutes les vulnérabilités et tous les nouveaux codes malveillants découverts par les éditeurs de sécurité et parfois des indépendants est impossible. Voilà pourquoi la rédaction de silicon.fr vous propose un pot pourri des faits marquants de cette année d’info, des plus désopilantes aux plus inquiétantes.

Du côté de chez Bill

Parler des Bugs chez Microsoft n’est pas une sinécure, dans la mesure où les produits de l’éditeur sont les plus ciblés par les cybercriminels.

Pour la bonne et simple raison que les systèmes d’exploitation de la firme de Redmond sont encore et toujours les plus utilisés et qu’il est donc plus rentable de cibler les utilisateurs des logiciels du groupe de Bill Gates que ceux qui utilisent une distribution Linux moins courante.

Certes le géant américain publie des correctifs, et parfois cela prend des aspects de grande farce, notamment quant il doit patcher ses patch s comme dans le cas des « updates critiques » concernant Windows Server 2003 XP et IE6.

Comble de l’ironie, le 23 août 2006, la firme a même réussi l’exploit de publier une mise à jours contenant une faille.

Il arrive aussi que des bulletins de sécurité soient obsolètes et ne corrigent pas la dernière menace en date, et ce, à cause d’un manque d’anticipation de l’éditeur.

Ainsi fin septembre, après avoir publié un ‘patch’ pour réparer une importante faille dans son navigateur, Microsoft a été confronté à de nouvelles attaques visant son navigateur Web, les applications PowerPoint, et une faille non corrigée (Oday) dans Windows XP et Server 2000 et 2003, est donc dans la nature depuis un moment…

La suite bureautique de Microsoft n’est pas épargnée et la fin de l’année a été marquée par la découverte à la chaîne de bugs dans Office 2000 et d’une faille controversée dans le lecteur WMP (Windows Media Player).

Le scepticisme est donc de rigueur sur le niveau de sécurité du nouvel OS version Entreprise de Microsoft Vista et prochainement (fin janvier 2007) de sa mouture grand public.

Les éditeurs de sécurité ont quasiment tous communiqué leurs doutes quant aux protections du nouvel OS. Mais pour autant Windows Vista est-il si sécurisé que cela ?  » Vista est invulnérable  » a affirmé Steve Ballmer avec sa gouaille doublée d’un zeste de provocation habituelle. D’autres sont plus dubitatifs, à l’image de Symantec, qui estime, un peu trop tôt sans doute, que Vista est truffé de failles.

Symantec a même indiqué qu’il ne veut pas de l’API de sécurité de Vista.

D’ailleurs Vista est déjà une cible de choix comme le montre cette affaire de spams par image ciblant le système d’exploitation, ou bien encore le fait qu’il soit déjà possible de trouver des versions pirates de l’OS. Kaspersky semble d’ailleurs partager ce point de vue.

Quant aux clés d’activation, censées protéger l’OS du piratage, elles ont déjà été cassées… et des failles ont été mises à jour.

Quelques trous dans la pomme

Désolé pour le macophile, cet inconditionnel féru de la marque à la pomme, qui est persuadé que son ordinateur est involiable, impénétrable, invulnérable.

Car en plus de ne pas respecter l’environnement, les produits de la firme de Cupertino sont aussi exposés à quelques petits problèmes de sécurité. Tout d’abord des chercheurs ont montré l’existence d’un bug qui touche le WiFi. Les Macs sont donc vulnérables à des attaques via le sans-fil.

Ensuite l’on a montré qu’une faille dans MacOS X ouvrait la porte aux codes . D’après un ingénieur, un code permettrait selon ses expérimentations, d’utiliser une faille dans la façon dont l’OS de la firme de Cupertino gère les fichiers DMG (disque image).

Pour finir, fin novembre, des experts en sécurité ont publié une alerte selon laquelle MacOS X pourrait accueillir un indésirable, un petit adware qui s’installe discrètement.

Des Bugs aussi au coeur des Navigateurs

L’année 2006 a été marquée par la disponibilité de Firefox 2.0 et d’ Internet Explorer 7, avec plusieurs nouveautés au menu, mais malgré un effort appréciable de la Fondation Mozilla d’un côté et de Microsoft de l’autre la Toile reste un terrain miné, où les hackers cherchent la moindre possibilité de se faire de l’argent.

Qui plus est, Microsoft a publié un nouveau navigateur avec un bug non corrigé dévoilé par Secunia le 19 Octobre 2006, jour de la sortie de IE7. Une publicité dont Redmond se serait bien passée.

D’après le danois, Secunia, la faille est identique à celle découverte dans IE6 en avril dernier. Un oubli franchement troublant et un mauvais coup de pub pour Microsoft !

Dans le domaine des logiciels de navigation, les bugs et les failles font malheureusement toujours la une de l’actualité. Ainsi, début septembre, peu de temps avant la publication d’IE7 des pirates russes ont profité d’une faille critique non corrigée dans le VML (Vector Markup Language) d’Internet Explorer pour lancer des attaques à l’aide d’un spyware.

Pour ne pas arranger les affaires des éditeurs, l’on a assisté à une véritable traque des bugs dans IE7 et Firefox. Bilan des courses, plusieurs problèmes ont été mis en exergue, comme

Une défaillance au niveau de la confidentialité des mots de passe sur les deux navigateurs, un problème de compatibilité avec le Javascript pour le panda rouge et selon des experts en sécurité IE7 serait vulnérable au phishing et ce malgré un effort particulier de Microsoft pour remédier à l’hameçonnage..

Enfin, moins populaire mais tout aussi efficace, Opéra un navigateur gratuit norvégien a publié une nouvelle version de son navigateur, la 9.1 et s’offre au passage de nouvelles fonctionnalités dont un filtre antiphishing.