Franchement, à voir vaciller les principaux piliers du monde commercial de la sécurité, on serait prêt à voir des pirates derrière chaque écran 21 pouces. Le « scoop du jour », c’est la promenade de santé que s’est offert YGN, the Ethical Hacker Group sur les serveurs de McAfee. Le « trou » aurait été découvert le mois dernier. Cette découverte est publiée sur la liste Full Disclosure, savoureuse ironie, la même semaine que l’est un rapport McAfee intitulé « Underground Economies, Intellectual Capital and Sensitive Corporate Data Now the Latest Cybercrime Currency ». Rapport qui déplore notamment le fait que les entreprises de grande et moyenne envergure ne savent pas ou mal protéger leurs « avoirs intellectuels » stockés sur leurs ressources informatiques. La rédaction de CNIS est intimement persuadée qu’un membre de l’Avert se dévouera pour expédier ledit mémorandum à qui de droit. D’ailleurs, le bras droit technique de « qui de droit » n’a pas non plus l’air au courant de l’affaire, puisque son dernier billet de blog remonte à début février et se penche sur le danger des APT qui viennent à pied par la Chine. En attendant, pour nos confrères de Network World, c’est presque la fin du monde : « McAfee’s website full of security holes ». Les vendeurs font un peu la tête… difficile de commercialiser des chaussures provenant d’un savetier qui a mal aux pieds.
Morte, la liste Full Disclosure ? Allons donc ! Cette même semaine, l’on y trouve également un message signé jackh4xor, qui décrit par le menu ce que l’on peut trouver sur les disques de MySQL, base de données Open Source, entité entrant dans le giron de Sun, lequel Sun appartient à Oracle. Bien que l’attaque ait utilisé une technique d’attaque par injection SQL « à tâtons » (ou à l’aveuglette), MySQL n’est pas en cause… seulement la structure du site Web.
Puisque l’on est au chapitre « désacralisation des icônes » achevons cette revue de hack par deux articles à caractère statistique. Le premier est publié par Maxiscience, et qui nous raconte comment la Nasa essuie près de 3000 intrusions par an (chiffre à prendre avec beaucoup de prudence). Nos confrères rappellent le hack de Jeremy Parker, en février dernier, mais passent sous silence celui de Gary McKinnon qui y cherchait la preuve de l’existence des petits hommes verts et qui est toujours sous le coup d’une procédure d’extradition vers les USA.
Mais au regard des derniers chiffres sur la sécurité des administrations fédérales des Etats-Unis, il semblerait que l’affaire McKinnon ne soit qu’une goutte d’eau dans un océan de hack. Entre Iraniens pugnaces, Chinois militants, altermondialistes hacktivistes, conspirationnistes avides et exobiologistes amateurs en mal de zone 51, l’on a frisé les 42 000 attaques dans l’administration américaine l’an passé. Chiffre en hausse comparé aux 30 000 tentatives de hack relevées en 2009 nous apprend Federal Times.
Mais à bien y regarder, tout çà relève de la sinistralité quotidienne des systèmes d’information, qu’ils soient étatiques ou privés. 31% de ces menaces avaient pour origine des « malicious codes », autrement dit de la vulgaire attaque virale. Le reste associant pêle-mêle les dénis de service, les login non autorisés, les usages impropres (accidentels ou non), les tentatives d’accès infructueuses et les sondes de scanners (ports, vulnérabilités, signatures etc.). Somme toute, une sorte d’inventaire à la Prévert uniquement destiné à faire grimper le FUDomètre au-delà des graduations « rouge vif ».
Ces tristes statistiques ne sont pourtant pas nécessaires. Chaque jour nous apporte la preuve que les « institutions honorables », jadis intouchées et intouchables, sont aujourd’hui désacralisées. Le « ils ne respectent plus rien » s’applique également aux crackers de sites, hacktivistes, techno-casseurs politisés, cyber-espions du secteur privé ou d’état.