 |
|
|
|
| |
En comparaison avec le second semestre 2003, actif en attaques informatiques (vers Blaster, Mimail, Swen, etc), le mois de décembre a été reposant. Le calme avant la tempête ? Chez LEXSI, nous nous sommes légitimement posés la question, au regard de trois informations qui pourraient être inquiétantes, égrenées au fur et à mesure que nous nous préparions aux fêtes de fin d'année :
Premièrement, nous avons vu la naissance légale d'une agence européenne chargée de coordonner les actions de prévention en sécurité informatique, l'ENISA. Après deux tentatives plutôt infructueuses, nous gardions bon espoir de voir nos parlementaires européens prendre enfin en main le problème pour créer (a minima) un équivalent au CERT/CC américain. A ce projet ambitieux sont alors venues se greffer des rumeurs inquiétantes, laissant entendre que l'ENISA serait basée en Grèce, et plus précisément… en Crète, une très belle île regorgeant davantage d'oliviers centenaires que de fibres optiques ou d'experts techniques !
Deuxièmement, une source publique a dévoilé l'architecture technique retenue pour nos radars automatiques (plus d'un millier prévu sur les routes en 2004) : une plate-forme Windows et une connexion ADSL… Sitôt publiée, cette information a bien évidemment lancé des dizaines de chauffards-pirates sur les autoroutes de l'information pour trouver et casser ces systèmes. Ces actions, qui restent somme toute circonscrites à quelques groupes d'hacktivistes, témoignent surtout de la vulnérabilité relative des technologies retenues dans le cadre de projets d'envergure. Moins critiques que nos centrales électriques, ces radars pourraient-ils néanmoins souffrir lors du prochain Blaster ?
Enfin, et à propos des vulnérabilités citées précédemment, nous avons été étonnés par l'absence de correctifs Microsoft pour le mois de décembre. Annoncé triomphalement par l'éditeur, le premier mois sans correctifs nous montre clairement les dérives du système de regroupement mensuel des patchs instauré deux mois auparavant.
Alors que les gouvernements et les grandes entreprises s'apprêtent à renégocier leurs contrats après la vague virale de l'été (qui a officiellement impacté ses ventes mondiales), l'éditeur peut être tenté de restreindre sa communication anxiogène, voire de donner un mois de répit à son service commercial.
Si l'année 2003 a été nommée " l'année du virus " par les magazines spécialisés, nous n'avons pas pour autant subi ce qu'on appelle déjà des zero-day-worms, ces vers qui exploitent des failles inconnues. En effet, lorsqu'un éditeur affirme que les vulnérabilités ne sont pas exploitées avant la diffusion de ses correctifs, notre veilleur en charge des " 0day " affiche un sourire poli.
Au regard de ces messages troublants émis au mois de décembre, beaucoup semblent hésiter à adopter une politique plus volontariste, même si, finalement, tout le monde y a mis du sien pour que les responsables informatiques passent de bonnes fêtes de fin d'année.
L'Enfer est pavé de bonnes intentions.
|
|
|
