novembre 26th, 2009

Dans un dernier sursaut visant à remettre la main sur quelque-chose qui lui échappe totalement, le Sénat US tente de promulguer un nombre de plus en plus important de lois de surveillance IP. Ainsi deux textes proposés la semaine passée. Le premier vise à rendre hors la loi toute installation de logiciel de partage de fichier « P2P » sur les ordinateurs des fonctionnaires. Souci légitime, dira-t-on, car qui d’autre que le gouvernement lui-même se doit de montrer l’exemple ? Las, la notion de P2P est mieux comprise outre-Atlantique que dans le quartier des Ministères à Paris. Et, pour ne pas inventer de prétendus firewalls bureautiques, les promulgateurs ont strictement défini ce qu’était un échange de fichier P2P. Histoire de ne pas entraver le business d’eBay (donc de Skype, qui repose sur un réseau P2P) ou de Microsoft, vendeur de Groove, et de centaines d’autres applications professionnelles. Clauses de précaution qui se traduisent par une énumération intéressante de ce qui n’est pas frappé d’interdiction. Et notamment ce qui « transmit or receive email messages, instant messaging, real-time audio or video communications, or real-time voice communications ».

Au moment même où ce texte sera appliqué (s’il l’est un jour), les derniers utilisateurs de eMule et autres clients Bittorent seront tous passés au « streaming », parfois même encapsulés dans un vpn. Ceci précisé, il faut admettre que l’Administration Obama ne dépense, pour l’occasion, que quelques octets sur un serveur d’annonces officielles et quelques grammes de salive du rapporteur. En France, nous explique notre éminent confrère Marc Rees, de PCinpact, chasser des utilisateurs d’anciennes technologies n’a pas de prix.

L’autre texte, plus « Loppsi » dans son approche, est dénoncée par Pierre Caron du Cert Lexsi. Cette fois, la proposition de loi américaine tente de reporter la responsabilité des « contenus à caractère usurpatoire » sur les fournisseurs d’accès (le mot usurpatoire pouvant couvrir la protection des identités, des marques, des données privées etc). Dans les grandes lignes, un site de phishing hébergé au Kamchatka pourrait, en raison de l’imprécision de la loi, valoir les foudres de la justice à un opérateur de structure situé sur le sol américain et par voie de conséquence, tout FAI situé en aval de cette structure. Flou également sur les critères de filtrage, la nature du filtrage.. on est, une fois de plus, mis en présence d’un texte visiblement plus étudié pour exercer une censure politique, économique ou d’intérêts communs, que pour protéger l’usager. Il n’est bien sûr pas question de souhaiter inquiéter le responsable premier de la menace, autrement dit le site de phishing lui-même (voir à ce sujet les répartitions géographiques desdits sites tenues par l’Antiphishing Working Group ).

Pierre Caron insiste sur l’importance nécessaire d’une certaine forme de contrôle d’internet, de la fin de cette phase anarchique qui a présidé à sa naissance. Il insiste également sur les risques de dérive provoqués par le flou artistique entretenu autour de ce qui doit être filtré. « Du moment que le dispositif de filtrage existe, même mis en place initialement à des fins légitimes, alors la tentation de la censure sera telle que les Etats y succomberont un jour ou l’autre ». La phrase est exacte, seul le temps du verbe devrait-être corrigé. Gouverner, c’est prévoir disait Emile de Girardin. L’on ne peut imaginer qu’un politique ne puisse émettre une proposition de loi sans envisager les cas extrêmes de son utilisation. Ce que certains prennent pour des « dérives extrêmes » pourraient bien être pour d’autres un but sciemment visé.

C’est un rapport annuel tout en « puissances de 10 » que nous offre l’équipe de Symantec :

– Une proportion des malwares dans le spam multiplié par 9

– Un volume de vente –et d’installation- des faux antivirus qui dépasse 43 millions de licences

– 14,4 millions de tentatives de drive by download sur une période de 60 jours

– Un volume de spam atteignant 95% des échanges de mail

– 403 cas avérés de pertes de données résultant en un total de 220 millions d’enregistrements exposés

Si les chiffres du spam n’étonnent hélas plus personne, ceux des « ventes » de faux antivirus (car ces logiciels sont bel et bien vendus) dépassent l’entendement. A raison de 40 dollars la licence, on frise un chiffre d’affaires de 2 milliards de dollars.

2009 nous a également apporté plusieurs nouvelles formes de hacking, et notamment le piratage d’informations ou l’usurpation d’identités dans le cadre des réseaux sociaux. Ce fut également l’année du distributeur bancaire, avec l’apparition (on l’eût presque oublié) du premier virus Troyen implanté sur un DAB. Même si ce programme, avait-on estimé à l’époque, avait été déposé « manuellement » sur le disque de la machine, cela n’empêche pas les gourous de Symantec de prévoir de nouvelles tentatives au cours de l’année 2010.

Autre prévision catastrophistes, l’accroissement des url de phishing ou de drive by download véhiculées par les outils de messagerie instantanée. Jusqu’à présent, les « tofs de ma sœur » ne parvenaient à tromper que quelques ados. Avec l’adoption de plus en plus grande de ces moyens de communication en entreprise, le volume de ces attaques pourrait croître selon un facteur de 1 à 12.

La suite de l’étude est globalement sans surprise. Nette croissance des botnets et des infections en utilisant les rouages –Zeus en tête-, exploitation de plus en plus intensive des faits divers et des événements de la vie courante (noël, le virus de la grippe, le crash du vol 447) pour propager des malwares en tous genres, le retour du spam à des niveaux semblables (voir supérieurs) à ce qu’il était avant la fermeture de McColo… les analyses des différents professionnels de la sécurité se suivent et se ressemblent.