S. Gil (Imperva) :« Entreprises, préparez-vous aux attaques automatisées »

La plus grande dérive dans le piratage, c’est « l’automatisation » et « l’industrialisation » des attaques. C’est ce qui ressort, entre autres, du rapport que Imperva vient de publier sur l’évolution des attaques informatiques en étudiant la « popularité » des fils de discussion liées aux attaques sur un forum fréquenté de pirates (250 000 membres).

Sans surprises, les assauts par déni de services (DoS ou déclinaison DDoS) restent l’arme privilégiée des hackers. Le fournisseur de solutions de protection des données considère que ce type d’offensive reste la stratégie de prédilection des pirates (22 % des discussions) qui cherchent à faire leurs armes comme le groupe de hacktivistes LulzSec, désormais dissous.

Derrière les attaques DDoS, qui consiste à bombarder un serveur de site Web de requêtes en vue de le saturer, arrivent les injections SQL (19 %), destinées à piller les données insérées dans un système de gestion de base de données. « En quelques heures, un outil scanne Internet pour rechercher ce type de vulnérabilités », commente Sylvain Gil, directeur chef de produit pour Imperva, qui vient de présenter l’étude sur Paris à nos confrères de ITespresso.fr.

Car, en fonction du caractère « sensible » des données piratées vendues par paquet de mille (numéros de cartes bancaires valides ou de comptes en banque, comptes de messagerie…), tout se marchande et « le prix évolue comme sur un marché ouvert ». Malgré son recul, le spam (16 %) reste bien ancré dans les pratiques malveillantes même s’il ne s’agit pas d’attaque à proprement parler.

Pour les pirates, Google constitue leur terrain de chasse (Google hacking). Le moteur leur permet de repérer les versions 1.0 des applications (forcément imparfaites). Un outil fiable pour établir une cartographie du Web et des vulnérabilités.

Sur ce forum underground très fréquenté, 25 % des contributions sont concentrées dans le volet « Beginning hackers » destinés aux novices. Mais le phreaking pour les réseaux mobiles (permettant de détourner les appels) reste aussi une valeur sûre (22 %). Les méthodes moins courues abordent  les volets techniques pointus (botnets et hacking, cryptographie, tutorials, IM hacking…). Le succès de l’iPhone est passé par là, les contributions concernant le volet de la mobilité gonflent à vue d’oeil…

Dans ce théâtre d’ombres, on sort les gants de boxe entre outils de hacking (SpyEye vs Zeus par exemple). L’an dernier, leur prix était similaire (environ 6000 dollars) mais, en cas d’installation du premier sur une machine (à l’insu de l’utilisateur), le second était automatiquement détruit en cas d’infection au préalable…Et vice-versa.

Les ennemies d’antan vont-ils se réconcilier ? « Dans les forums, on a commencé à évoquer une fusion des produits », commente Sylvain Gil. Dans un souci de vulgarisation des récupérations occultes de données, un pirate du Koweit avait créé Login Spoofer, un logiciel gratuit permettant de créer une interface factice d’un réseau social (Facebook) ou d’un service de communication interpersonnel (Gmail). Objectif : attirer les internautes sur les sites-leurres,  récupérer leurs données de connexion puis exploiter les accès sur les services authentiques. Où les applications au service du phishing. Il semblerait que cela a donné lieu à un double piratage puisque le créateur de Login Spoofer récupérait en parallèle les données que les utilisateurs de son logiciel avaient subtilisées…

« La puissance de feu des pirates est énorme », souligne Sylvain Gil. A travers l’analyse des honeypots d’Imperva (les serveurs-leurres du fournisseur de solutions de sécurité IT destinées à observer le comportement des hackers) réalisée en août, on recense 27 attaques par heure en mode « veilleuse » puis la cadence s’accélère en cas de déclenchement de l’offensive : 25 000 attaques par heure, soit sept par seconde. Les tirs sont nourris… et concentrés : « 29 % des attaques proviennent de 10 sources actives » (correspond à une adresse IP).

« Entreprises, préparez-vous aux attaques automatisées », prévient Sylvain Gil. L’expert d’Imperva, qui collabore avec la division R&D du prestataire en Israël, recense quatre principales attaques : « directory traversal » (vol des fichiers de mots de passe sur les serveurs Web en détournant le chemin d’accès), SQL injection (attaque à partir d’une page Web visant à interroger une base de données), XSS (cross-site scripting, redirection vers une page Web à l’insu de l’utilisateur via le navigateur), RFI (remote file include, distribution de logiciels malveillants sur d’autres serveurs).

Face à ces menaces, Fabienne Ranseau, directrice commerciale d’Imperva, constate en France un « manque de maturité » vis-à-vis de l’approche « sécurité combinée jusqu’au niveau de la couche 7 du modèle OSI ».Elle pointe également des lacunes dans l’audit des données sensibles à protéger et des failles dans la chaîne de responsabilité économique pour la gestion des bases de données au sein des entreprises.

« Généralement, les responsables prennent en charge l’intégrité des données mais pas leur sécurité. Qui paie en cas de vol de données ? On ne le sait pas. Des pays comme les Etats-Unis, le Royaume-Uni et l’Allemagne sont en avance par rapport à nous sur cette approche économique au-delà de la technique », constate Fabienne Ranseau. Un retard que la Commission européenne a bien l’intention de combler dans le cadre des débats sur la révision de la direction des données personnelles.