L’automne, c’est la saison des « stats », des bilans, des rapports. Peu de temps avant que ne soient discutés les budgets sécurité 2010, comme par hasard. Malgré l’orientation de certaines de ces études, réalisées par des entreprises du sérail, il se dégage une certaine cohérence des observations. La crise aidant, les cybertruands deviennent plus méthodiques, plus efficaces, et surtout travaillent à plus grande échelle, quitte à abandonner du jour au lendemain une « vieille technique qui a fait ses preuves » pour une méthode plus radicale et parfois plus violente. Place aux chiffres.
C’est au cours d’une conférence de presse organisée en fin de semaine dernière qu’IBM, en la personne de Jean-Paul Ballerini, a publié les résultats de la Xforce d’ISS. Une analyse chiffrée dont les métriques sont parfois surprenantes par leur démesure : 3200 vulnérabilités déclarées durant la première moitié 2009. Un chiffre en baisse par rapport à l’an passé, mais qui masque mal une véritable montée en puissance du nombre d’exploitations, notamment des injections SQL et des attaques ActiveX. Proportionnellement parlant, précisent les bénédictins de l’ISS, 50,4% des vulnérabilités répertoriées sont celles d’applications Web. Reste que la palme de la plus belle exploitation, la plus populaire auprès des auteurs de malware, est indiscutablement celle qui tire parti d’une des nombreuses failles ayant, durant ces 6 derniers mois, affecté le format PDF.
Si l’on considère le problème sous l’angle des grandes familles de vecteur d’agression, ce sont les Troyens qui arrivent en tête, avec 55% des attaques constatées. Dans la catégorie « techniques d’exploitation, les liens Web « pourris » (redirections malignes) ont crû durant le premier semestre 2008 de plus de 508%. A noter que dans cette catégorie, de très importants changements sont survenus dans le paysage de la cyberdélinquance mondiale. Après une violente montée en puissance durant les mois de juin-juillet-août, le phishing s’est brusquement effondré, concurrencé par de nouvelles techniques d’attaques financières. Aujourd’hui, le phishing ne représente plus que 0,1% du volume de spam mondial.
D’où viennent ces failles ? D’un nombre restreint d’éditeurs affirme IBM. 24% des vulnérabilités publiées proviennent du top 10 des vendeurs de logiciels. Par ordre d’importance, Microsoft, Apple, Sun et Joomla, qui ont totalisé respectivement, tout au long de l’année 2008, 3,16, 3,04, 2,19 et 2,07% des trous de sécurité « officiels ». A noter, pour la période du premier trimestre 2009, que le tiercé gagnant était établi, dans l’ordre, par Apple (3,8%), Sun (3,6%) et Microsoft (3,1%), un renversement de tendance peut-être purement conjoncturel, mais assez surprenant pour qu’il soit mentionné.
Plus inquiétant sont les résultats du recensement des correctifs visant à colmater les failles susmentionnées. Près de 49% des vulnérabilités découvertes Q1-Q2 2009 n’étaient pas corrigées au bout des 6 mois considérés. Le « grand vainqueur » dans cette course au trou béant est la communauté Joomla, avec 80% de failles non « fixées ». Apple vient en seconde place, avec 18% de failles laissées béantes, talonné par Microsoft avec 17% de trous « connus mais non bouchés ». Il faut, comme à l’accoutumée, lire ces chiffres avec une prudence extrême. Si l’on peut affirmer sans se tromper que les applications Web 2.0 mal entretenues (Joomla) sont à coup sûr de formidables vecteurs d’infection, les 17 à 18% de trous béants chez Microsoft et Apple sont souvent des bugs soit non exploitables, soit de conséquences mineures (quoique les événements récents, IIS-ftp, smbv2, tendent à prouver le contraire).
Un dernier chiffre pour la route ? Probablement celui qui fera le plus plaisir à l’Owasp : de manière générale, les attaques se répartissent comme suit : 75% (en volume) visent les applications Web et 25% tentent de s’introduire via les « couches réseau ». Comparativement, les budgets alloués aux investissements de défense sont à 90% affectés au poste réseau et à 10% dédiés aux applications Web.