jeudi 19 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > La sécurité informatique de moins en moins efficace

La sécurité informatique de moins en moins efficace

Jean Etienne, Futura-Sciences

jeudi 15 février 2007, sélectionné par Spyworld

logo

La conférence mondiale de la sécurité RSA, qui vient de se tenir à San Francisco, dresse un bilan de l’état de la sécurité informatique, en examinant les risques encourus sur le web face aux solutions existantes. Et ce n’est pas réjouissant…

Si surfer sur Internet reste pour beaucoup une activité ludique, les utilisations "critiques" de la toile se banalisent et ne sont plus l’apanage des spécialistes. Payer ses impôts, gérer son compte en banque, accéder aux informations de son entreprise, acheter en ligne sont devenues pratiques courantes. Or, les utilisateurs sont rarement avertis des risques encourus et une simple distraction peut avoir des conséquences très désagréables.

En une dizaine d’années, la mentalité des pirates a fondamentalement changé. Il ne s’agit plus d’étudiants ou de hobbyistes pénétrant des sites pour s’amuser, mais de véritables criminels ayant l’argent pour unique motivation. Des organisations n’hésitent pas à engager des hackers pour les aider à obtenir des informations sensibles en prenant le contrôle de votre ordinateur à distance, comme votre numéro de carte de crédit et son code secret (que des programmes implanté sous forme de cheval de Troie peuvent déterminer au départ de sa frappe sur le clavier), ou n’importe quelle donnée personnelle.

L’espionnage industriel représente aussi une bonne part des incursions au sein des sites informatiques des grandes entreprises, tandis que les Etats-Unis soupçonnent constamment la Chine d’obtenir par ce moyen des informations sur la technologie nucléaire et autres secteurs de pointe. Selon les acteurs de la conférence mondiale sur la sécurité, environ 8 sites sur 10 ne sont pas sécurisés et exposent ainsi toute leur vulnérabilité aux pirates informatiques, les autres n’étant que des sites "vitrines" sans intérêt commercial. Mais le principal risque ne concerne pas ces sociétés, mais bien les clients qui y accèdent en toute confiance.

Le phishing nouvelle génération

On ne présente plus le phishing, cette pratique qui consiste pour un pirate à imiter, souvent à la perfection, le site d’une entreprise ou d’une banque et à vous y diriger avec les conséquences que l’on imagine. Aujourd’hui, les fournisseurs de services sérieux incorporent des logiciels anti-phishing alimentés par des bases de données qui permettent la plupart du temps d’éviter le problème. Mais les pirates ont là aussi bien évolué et utilisent à présent le Cross-Site Scripting (XSS), méthode qui permet de faire du phising à partir du site véritable !

Vous recevez alors un mail qui vous invite, par exemple, à vous connecter sur le site de votre organisme bancaire. A la différence du phishing pur et dur, c’est cependant vers le véritable site que vous êtes dirigé, mais un bout de code Javascript y a été préalablement dissimulé et lorsque vous cliquez, c’est votre banque elle-même qui vous l’expédie au lieu d’afficher un message d’erreur. Sans que vous ne vous soyez aperçu de rien, le pirate contrôle alors votre machine et peut donner libre cours à son imagination… et à sa malhonnêteté.

Le problème est sérieux car l’attaque peut se produire même si votre serveur est parfaitement configuré avec toutes ses mises à jour et l’attaque traversera en toute impunité votre pare-feu, car la faille se trouve au niveau du site web et de ses applications. Avant d’installer leur piège, les hackers auront préalablement envoyé des milliers de tests sur le site visé afin d’en étudier les réponses et ainsi découvrir des failles de programmation inconnues même de leurs auteurs. Ils peuvent alors agir en toute sécurité… pour eux.

Se protéger est un véritable problème. Ce type d’attaque, très récent, commence à peine à être examiné par les auteurs d’antivirus. Au niveau professionnel, il est possible d’utiliser des logiciels spécialisés qui isolent la navigation internet en la plaçant dans un espace virtuel totalement isolé du reste des applications, mais tous les utilisateurs ne peuvent pas se payer les services d’un administrateur réseau… Reste la bonne vieille solution : ne jamais cliquer sur un lien reçu par email, même s’il provient du vrai site, car il peut dissimuler quelques surprises.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :