Longtemps, les études relatives à la sécurité ont chanté à l’unisson. Les virus venus de l’Est, les botnets fabriqués en Chine, les cyber-hacktivistes venus…de partout, les espionniciels concoctés par l’AntiFrance qui viennent jusque dans nos bras égorger nos pdf et nos emails… A tel point que lire successivement un rapport McAfee, un autre Kasperky, un troisième Matasano, Websense ou Verizon avait tendance à ressembler à la discographie de Britney Spears : on ne peut pas s’endormir à cause du bruit provoqué, mais la répétition des thèmes lasse le moins exigeant des auditeurs.
L’automne 2011, en revanche, nous promet du changement. Damballa, par exemple, un spécialiste de la chasse aux Botnets, nous en annonce jusque sur nos réseaux téléphoniques. Un argument qui prend sa source dans la découverte d’une infection de ce type ayant affecté le monde Android, dans lequel il a fallu lancer une campagne de nettoyage des applications pourries vendues sur les « marketplace » officielles. Le temps n’est plus, nous assure Damballa, où l’attaque des téléphones mobiles s’effectuait par le biais de SMS et applets Java aussi discrets que rares. Tous les éléments sont réunis pour que l’on commence à voir apparaître des « C&C », centres de contrôle et de commandement pour réseaux de bot, capables d’asservir des milliers de smartphones zombifiés.
Bon, d’accord, tout çà a un très léger air de déjà-vu, puisque le rapport annuel Cisco 2010 nous prédisait déjà un Armageddon de la téléphonie mobile. Pour preuve, la lente montée en puissance des lots de correctifs « poussés » sur les appareils. IOS 4, à lui seul, avait corrigé plus de 60 failles en date de publication du rapport Cisco. Y-a-t-il encore du code autour des trous ? Et l’on ne parle pas des téléphones « dangereusement Jailbreakés » (le « mot de passe par défaut » de SSH fait encore parler de lui…trou qui fit plus de bruit que de mal). Bien sûr, les trous de sécurité, voir les « indiscrétions » et « libertés » prises par certains éditeurs d’applications pour la plateforme Android sont utilisés pour confirmer ces prévisions pessimistes. Remarquons au passage que jusqu’à présent, si l’on a parlé du « nombre impressionnant de programmes peu sûrs » vendus aux possesseurs de smartphone, il n’a jamais été publié de statistiques précises sur le nombre d’applications réellement téléchargées et utilisées par les clients. Ce qui aurait donné une indication un peu plus sérieuse sur le risque réel apporté par ces applications. Tout çà ressemble un peu à certains « virus en chambre », très dangereux, très sophistiqués, très médiatisés, mais dont la zone d’impact ne dépasse que très rarement les limites de la banlieue Est de Bratislava.
Chez Norton, on change de ton et l’on préfère l’analyse sociologique à l’expertise binaire. Le tout dernier Cybercrime Report renoue avec la tradition des chiffres qui impressionnent : la cybercriminalité a coûté 872 millions d’Euros aux Français l’an passé, faisant plus de 9,4 millions de victimes. Une goutte d’eau comparée aux quelques 114 milliards de dollars de pertes au niveau mondial. Ce à quoi le communiqué précise « … pertes auxquelles, il faut ajouter 274 milliards de dollars de temps perdu à résoudre les incidents, selon les estimations des victimes. » Une industrie dont les frais de remise en route coûtent en moyenne trois fois plus chers que le sinistre lui-même devrait se poser des questions sur sa viabilité à moyen terme. Soit les personnes chargées de la reprise d’activité sont coupables d’escroquerie, soit l’outil n’est pas maîtrisé.
Et le véritable danger, précise l’étude, ce sont les réseaux sociaux. Une véritable drogue estiment les rapporteurs, puisque 23% des adultes français affirment ne pas pouvoir se passer d’Internet dans leur vie et 25% sont persuadés que sans réseaux sociaux, ils perdraient contact avec leurs amis. Avant que de savoir décrire précisément ce qu’est une « Advanced Persistent Threat », il serait peut-être bon de commencer par définir les mots « amis », « menace », « risque », « terroriste » ou « perte » …
Il y a quand même quelqu’un chez vous qui a écouté (ou essayé) d’écouter la discopgraphie de Britney Spears…
(quel plaisir de vous lire…)