Le 2008 Data Breach Investigations Supplemental Report de Verizon s’est focalisé sur quatre secteurs d’activité très précis : industries et entreprises du secteur alimentaire, technique/technologique, financier et distribution. Domaines tertiaires par excellence, fortement utilisateurs d’ordinateurs et convoités par les pirates du monde entier. La densité du rapport est telle qu’il serait vain de tenter d’en faire un résumé fiable. Mais l’on peut extraire quelques chiffres « hors normes ». A commencer par l’impunité probable des auteurs des compromissions constatées, puisqu’en grande majorité, la nature des données échangées, des connexions effectuées, des niveaux de privilèges exigés sont totalement inconnus des utilisateurs dans les secteurs alimentaire, de la distribution et même technique. Le « comment fonctionne mon système informatique » ne semble réellement concerner que les professionnels de la finance, qui maîtrisent en général leurs flux d’information et les droits nécessaires à leur accès. Même constatation pour ce qui concerne l’alerte lancée en cas de compromission. Dans le secteur agroalimentaire, c’est une tierce partie étrangère à l’entreprise qui prévient dans 88% des cas la victime. 79% des alertes proviennent également de l’extérieur dans le domaine de la distribution. A comparer aux 53 et 50% des industries techniques et de la finance.
L’origine des compromissions (fuites de données, vol d’information, intrusions etc) est une fois de plus clairement identifiée : de l’extérieur dans 70 % des cas en moyenne (80 et 84% dans l’alimentaire et la distribution). Le mythe de l’employé indélicat, « principal vecteur de criminalité » peut aller se rhabiller. Le taux d’attaques provenant de collaborateurs « ripoux » ne dépasse pas 4% dans l’agroalimentaire. Les « cols blancs », plus sujets à la tentation, ne constituent que 38 à 39% des fraudes (finance et technique). Un taux qui lorsque ramené en probabilité de risques fait que le « traître interne » est surtout à craindre dans les banques et assurances. Dans les autres milieux, ce sont les partenaires qui présentent le taux de risques le plus élevé. De tous les métiers examinés, l’impact du risque, en terme de « volume d’enregistrement » est très nettement le plus élevé dans les industries de types technique et technologique. Résultat logique si l’on considère que ce sont là que sont concentrés ou sous-traités les plus gros travaux de traitement de fichiers.
Sur l’origine technique des sinistres, là encore, les métriques de Verizon peuvent étonner. En tête des menaces, l’on trouve… les keyloggers étonnamment associés aux spywares. Si les spywares constituent indiscutablement un fléau dont la volumétrie est importante, la proportion des malwares intégrant un enregistreur de frappe clavier est considérablement plus faible (les outils de vol de crédences utilisant le plus souvent soit des attaques en phishing, soit des scanners de ressources locales). Le reste du classement est en revanche presque sans surprise : portes dérobées et/ou zombies et leurs C&C associés, injections SQL, abus ou élévations de privilège, intrusions grâce à des mots de passe par défaut, intrusions profitant d’un défaut de protection des ACL, espionnages par packet sniffer, intrusions par crédences volées et autres usurpations et ingénierie sociale. Voilà pour le « top ten » des hacks noirs. A noter, à la 14ème place, l’arrivée d’un nouveau venu : le RAM Scraping, ou vol de données en mémoire vive. Voilà qui va relancer le débat sur les « cold boot memory attack » et les péripéties des chambrières diaboliques.