Après les faux antivirus cherchant à truander les internautes, voici les prétendus « assessement tools » et autres outils de « pentest » d’origine Chinoise qui justifient leur existence « à seule fin de protéger les victimes potentielles ». Cette trouvaille porte la signature –une fois de plus- de Dancho Danchev. Les outils en question sont des usines capables d’évaluer l’impact d’une « attaque par injection SQL massive via les principaux moteurs de recherche ». Attaque en deux temps, Googlehacking puis, une fois la victime localisée, exploitation de la faille considérée. Pour que le travail du RSSI-black-hat soit simplifié et accéléré au maximum, la console d’administration des programmes en question classe par importance statistique le pourcentage de « chances » de tomber sur une injection SQL aisément exploitable. Enfin, pour parfaire le tri, les sites vulnérables peuvent parfaitement être localisés, secteur géographique par secteur géographique.
Et çà tombe très bien, puisque les exemples donnés par ces vendeurs d’armes de piratage massif concernent des sites français. Voilà qui va donner quelques sueurs froides à une poignée de webmestres qui auraient oublié un ou deux correctifs durant ces dernières années.
Danchev s’attache surtout, au fil de son papier, à démontrer à quel point ces « programmes de sécurité » se perfectionnent de jour en jour. Ce sont, avec 3 moteurs de recherche parallélisés, de véritables usines à découvrir de la faille et à forer du site. L’Xaas, Exploit As A Service, est un nouveau business « noir » qui pourrait bien s’avérer aussi lucratif que les « ateliers » de malware de la génération Storm worm.