|
| |
|
|
 |
| L'affirmation croissante d'un cybercrime organisé |
| Les cybercriminels ciblent et camouflent leurs attaques pour plus d'efficacité. Combinant social engineering, technologies et codes malicieux, ces menaces nécessitent plus que jamais de former les utilisateurs.
(16/10/2006) |
|
Un changement s'était déjà amorcé voilà près de deux ans, après l'apparition du ver Sasser. Exploitant une faille des systèmes Windows, ce dernier provoquait d'intempestifs redémarrages de l'ordinateur. Presque un baroud d'honneur pour ce type d'attaques, désormais clairement révolu.
Les créateurs de virus seraient-ils alors devenus pusillanimes ? Non, bien au contraire. Pour ces derniers, il est simplement contre-productif de s'en prendre aux ordinateurs. Le gain n'est plus dans les honneurs d'une attaque largement médiatisée, mais dans les données.
Transitant toujours plus sur les réseaux grâce à la banalisation de l'usage d'Internet, au développement du commerce électronique et à la dématérialisation, les informations, souvent sensibles, sont une richesse que les pirates cherchent par divers moyens à dérober.
"Ils n'essayent plus d'être champion du monde de virus, mais sont uniquement en quête de profit", déclare le directeur général de SurfControl, Fabrice Prugnaud. "Les données les plus sensibles pour les entreprises sont désormais bien souvent des contenus dématérialisés. Les serveurs contiennent des informations vitales qui ne doivent pas quitter un périmètre bien défini, et certainement pas circuler sur Internet", poursuit-il.
Oubliées les opérations trop flagrantes, aisément décelables. Place aux attaques ciblées, furtives par le biais de chevaux de Troie, de rootkit ou encore de keyloggers (enregistreurs de frappes clavier). Une évolution qui a suivi celle du profil des pirates. Ces derniers, qu'ils soient hackers ou créateurs de code, n'hésitent pas d'ailleurs à monnayer leur savoir-faire directement sur Internet sous la forme de kits, comme WebAttacker ou Nuclear Grabber.
"On a affaire à des groupes organisés au niveau mondial"
(F. Prugnaud - SurfControl)
|
"On a affaire à des groupes organisés au niveau mondial, qui orchestrent des attaques de spoofing ou de phishing depuis des serveurs hébergés dans des pays où la législation est souvent moins stricte, tandis qu'eux résident dans des pays où au contraire les lois sont plus sévères", explique Fabrice Prugnaud.
Le laboratoire de veille de Websense a détecté au cours du premier semestre 2006, une augmentation de 100% des sites conçus pour installer des keyloggers ou des extracteurs de données capables de réaliser des captures d'écran, puis de les acheminer au pirate. Et pour installer ces codes malveillants à l'insu des utilisateurs, l'exploitation des vulnérabilités des applications est une méthode à la fois efficace et discrète.
La menace est désormais indiscutablement hybride. Le phishing en est une parfaite illustration. Autrefois basé uniquement sur un email de spam, cette méthode d'escroquerie sur Internet se complexifie et s'arme de codes malveillants, pour la plupart des chevaux de Troie. Redirigeant les internautes de manière transparente vers un site de phishing, l'attaque est presque imparable, plus encore lorsqu'elle se mue en pharming, ou empoisonnement DNS.
Les escrocs peuvent qui plus est compter sur les sites communautaires de social networking comme MySpace, pour collecter des données personnelles afin de mieux cibler leurs emails leurres, ou encore pour répandre des codes malveillants. Les pirates s'efforcent en effet de rester des individus à la page, guettant les usages des internautes.
Les applications Web pourraient d'ailleurs bientôt susciter chez eux un vif intérêt. La promotion de l'interaction entre l'utilisateur et des services en ligne, cur du Web 2.0, accroît certes l'expérience utilisateur, mais peut également avoir pour effet d'accroître les risques. Les éditeurs devront se montrer particulièrement soucieux de la sécurité dans leurs méthodes de développement et ne pas hésiter à auditer leur code.
Les entreprises devront également intégrer pleinement leurs salariés dans leur politique de sécurité, afin que ceux-ci ne soient plus invariablement désignés comme le maillon faible du système d'information. Contre des menaces découlant du social engineering, ou sociotechniques comme les qualifient l'expert en sécurité Bruce Schneier, PSSI et autres chartes ne peuvent se faire en écartant la variable humaine.
|
|
|
|
Analyse