Cybercriminalité : le hacking s'attaque à l'électronique Failles et effets d'annonce

2008 a fait l'objet de plusieurs annonces relatives à des failles nimbées de catastrophisme. Le consultant du cabinet de sécurité, Hervé Schauer, a souhaité revenir sur la médiatisation de certaines de ces vulnérabilités.

Il regrette ainsi le jeu auquel s'est prêté le chercheur (Dan Kaminsky) à l'origine de la découverte de la faille affectant DNS. Car même si celle-ci représente bien un risque, la communication faite autour de la vulnérabilité en a selon lui accentuée largement la portée. L'application du correctif s'avère en effet avant tout importante pour les gestionnaires de DNS. 

Une faille sur TCP a tenté, et réussi dans une moindre mesure, à susciter également une forte médiatisation. Mais chercheurs et organisateurs de conférences ne sont pas les seuls en quête de médiatisation, explique Hervé Schauer, citant également le lundi noir des virus annoncé par de nombreux éditeurs d'antivirus.

L'éditeur Elcomsoft s'est aussi illustré, sans découvertes notables, par des annonces régulières sur le cassage par force brute de divers algorithme dont WPA. 

Et si le consultant regrette ce qu'il qualifie de surexposition c'est avant tout parce qu'elle dissimule d'autres failles bien plus critiques et pourtant insuffisamment relayées. C'est notamment le cas de la problématique de la sécurité physique mise en lumière par la vulnérabilité de la Mifare Classic de NXP.

Mais ce sont aussi certains avis relatifs au poste de travail et des alertes de Microsoft, comme le bulletin MS08-067 concernant une faille critique permettant une exploitation distante de tous les systèmes jusqu'à Windows 2003 Service Pack 2.