Après les prédictions relativement pessimistes de McAfee, voici celles guère plus joyeuses de la X-Force d’IBM/ISS. Prévisions imposantes, colossales mêmes, qui s’étalent sur plus d’une centaine de pages. Et s’il fallait résumer cette montagne de chiffres en quelques mots, l’on pourrait dire « plus Web, plus simple, plus opportuniste et plus brutal ».
Plus Web, ce n’est une surprise pour personne. L’Owasp le déclame depuis assez longtemps, les principales attaques exploitent des vulnérabilités qui affectent les applications Web. Et il n’y a pas de raison pour que tout cela change en 2009… on ne va pas imaginer que, pris par un remords soudain, les développeurs remettent à plat les milliards de programmes et de sites écrits jusqu’à présent. Plus Web également côté client, car ici encore, l’on est loin d’avoir éliminé tous les défauts des navigateurs ou des applications qui interagissent avec une page HTML –souvenons-nous des pluggin empoisonnés, des javascripts tueurs, des appels d’applications vulnérables-. Au total, ce sont là 55% des vecteurs d’attaque recensés au cours de 2008. Ce le sera encore en 2009. Parfois, les chemins sont détournés. Ainsi, les injections SQL automatisées, dont l’augmentation a été multipliée par 30 l’an passé, sont principalement destinées à détourner les internautes pour mieux les piéger. Elles sèment sur leur passage des mécanismes de redirection qui conduira le surfer vers des sites compromis qui, à leur tour, déclencheront de rafales d’exploits anti-navigateurs. Des toolkits qui déposent principalement des troyens, des clients Botnet. Près de 46% des malwares analysés par ISS en 2008 étaient des chevaux de Troie chargés de récupérer des crédences de jeux en ligne ou d’accès bancaire.
Plus simple et plus brutal également. Car plutôt que de chercher désespérément à contrecarrer les effets d’une politique de sécurité attentive conduite par certains éditeurs consciencieux, les auteurs de malwares auraient plutôt tendance à choisir des chemins plus aisés… en l’occurrence l’exploitation des failles qui n’ont jamais été corrigées. Sur l’ensemble des failles divulguées en 2008, estime la X-Force, près de 53 % n’étaient pas encore corrigées à la Saint Sylvestre. Pis encore, 46% des bug millésimés 2006 et 44% des trous de sécurité 2007 sont toujours en attente d’une rustine.
Ouvrons ici une parenthèse pour préciser que chaque faille n’est pas systématiquement exploitée ou exploitable. Cette comptabilité IBM est un peu trop alarmiste pour être prise au sérieux, car il manque là une véritable mise en perspective de chaque défaut et de son coût de correction (ou d’application de rustine). Et le décompte reprend : il s’est découvert 13% de failles en plus en 2008, et le taux de failles dites « critiques » est en nette progression de 15%. Ce qui peut être interprété de multiples façons. D’une part, le nombre de failles reflète la croissance du marché et du nombre de logiciels, pilotes, systèmes développés chaque jour. Il peut également être un indicateur du travail et de la vigilance des laboratoires de sécurité, des chercheurs indépendants et des « response teams » des différents éditeurs et équipementiers. Plus de trous ne signifie pas nécessairement plus d’attaques. Plus simple, encore, avec, nous prédit la X-Force, l’abandon des manœuvres complexes au profit de campagnes plus efficaces et plus directes. On le voit dans l’évolution du spam, par exemple. Au début 2008, l’on était témoin d’une recrudescence de spam technologiquement tirés par les cheveux : images bitmap à caractère aléatoire, fichiers pdf, intitulés variables, textes tirés de romans ou d’ouvrages poétiques afin de noyer les algorithmes bayésiens… tout çà est oublié. On « passe désormais en force » pour inciter les internautes à visiter tel ou tel site pharmaceutique ou de jeux en ligne. L’url se cache dans un simple courriel prenant l’aspect d’un rappel de facture, au détour d’une réponse de blog…
A remarquer, cette métrique qui laisserait entendre que le phishing a connu quelques fluctuations conjoncturelles. Les courriels d’incitation au hameçonnage ne représentent que 0,5 % du volume total de spam dans le monde. Et ce volume aurait été en légère décroissance de 0,2 % au second trimestre 2008, pour subir ensuite une augmentation de 0,8% dans la seconde moitié de l’année. Une remontée qui semble parfaitement en phase avec les contrecoups de la crise économique mondiale et les mille et une actions que tentent les escrocs du Net pour en tirer parti.