Les rapports Microsoft sont comme les radis et les « patchs Tuesday » : d’une régularité métronomique. Et c’est sans surprise que s’est faite l’annonce du tout dernier MS Security Intelligence Report consacré au semestre juillet-décembre 2011.
Le SIR,rappelons-le, est le résultat de métriques réalisées grâces aux remontées des honeypots « maison » de Microsoft, des statistiques des différents services « live » (messagerie hotmail, protection A.V. Live Essential etc.) et surtout aux retours effectués par la base installée des antivirus clients répartis dans le monde. Ce n’est donc pas une enquête d’opinion sur les risques fantasmés de la délinquance informatique, mais un cliché, un état des lieux de l’activité des malwares sur une période de 6 mois.
Le premier constat du SIR ressemble à un chant désespéré (ceux qui sont les plus beaux et les plus entêtants) : Conficker n’en finit pas de mourir à très petit feu. 1,7 million de systèmes étaient encore compromis fin 2011. 1,7 million de systèmes victimes donc d’une exploitation visant une faille comblée depuis belle lurette et combattue par tous les antivirus, même les plus poreux de la création. Au total, 220 millions d’ordinateurs auront subi les foudres de Conficker depuis sa naissance.
Pourquoi cette rémanence ? On est encore dans le registre des litanies et des ritournelles connues : le manque d’attention de la part des usagers, notamment en matière de complexité de mots de passe. Une négligence qui n’est pas sans rapport avec la persistance de Conficker, qui ne possède pas un dictionnaire d’attaques particulièrement performant et qui parvient pourtant à survivre. Autre terreau favorable à la survie de cette infection, le manque de suivi des politiques de mise à jour et de déploiement de correctif. Question d’autant plus épineuse pour Microsoft l’enquêteur qu’une partie de la réponse échappe totalement à Microsoft l’éditeur de systèmes d’exploitation. Les attaques fructueuses visent moins le noyau Windows que les applications Java/html. Cette confusion des genres entre la notion de « système d’exploitation non-patché » et de « système (tout court) non patché » fait encore des ravages. La faute peut-être à Microsoft, qui a trop mis en avant ses efforts fournis pour propager la bonne parole du TWC (informatique de confiance) et qui a polarisé toutes les attentions sur l’importance d’une bonne maintenance des noyaux. Mais l’informatique au quotidien, c’est 20 % à 50 % de Microsoft, 50 à 80 % de non-Microsoft qu’il faut également corriger. Las, la plateforme Windows ne possède pas d’outil natif de déploiement de correctifs universels.
Partant de ce constat, les tenants du « côté obscur de la force » en profitent. « Il n’y a pas de différence technique fondamentale entre une APT et une attaque générale, entre un assaut permanent et ciblé visant une grande entreprise et un botnet cherchant à recruter des machines zombies », explique Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft. Les ingrédients ne changent pas, même si la recette, la façon d’utiliser les exploits, change avec le type d’attaque. Paradoxalement, jamais le secteur industriel n’a été aussi bien équipé. Les outils de protection, les firewalls, les IPS s’entassent sans parvenir à intercepter les tentatives d’intrusion. Eux aussi sont frappés du syndrome de la configuration par défaut, du mot de passe faible ou du correctif mal déployé.
Achevons cette lecture très rapide et superficielle du SIR avec deux notes optimistes. En premier lieu, la confirmation de la baisse progressive du spam : 35 milliards d’emails bloqués en janvier 2011, 13 à 14 milliards « seulement » interceptés en novembre-décembre (statistiques hotmail). Des proportions analogues ont été constatées par des opérateurs de messagerie cloud concurrents. L’autre bonne nouvelle concerne la bonne tenue du parc français aux infections et attaques diverses. Le taux d’infection oscille aux environs de 3,8 pour 1000 machines, à comparer aux 7,2 pour 1000 de la moyenne internationale. En revanche, les addware frappent plus fort que partout ailleurs, avec un taux d’espionniciels commerciaux passant la barre des 53%… contre 17 à 18% dans le reste du monde. Il n’existe pas d’explication plausible à ce particularisme national et à la bonne santé de ces hotbar et autres maladies transmissibles par navigateur.
