Le Reg nous apprend que, depuis le 14 juillet, les antivirus Kaspersky se sont mis à bannir plusieurs sites soupçonnés d’héberger des pages de phishing. Parmi les serveurs censurés, un certain nombre de sites légitimes, dont celui des pages « News » de la BBC. Un « fail » de plus des outils de « white list/ black list », un accident de plus dans la liste déjà trop longue de blocages systèmes provoqués par un outil de défense périmétrique.
Une preuve supplémentaire, s’il en fallait une, qu’il suffit d’une simple mise à niveau automatisée pour paralyser les accès Web (et plus si affinités) de milliers de machines. La question est surtout de savoir s’il est possible, pour une entreprise Française, de reconsidérer assez rapidement sa politique de protection A.V./Firewall/antispam/antiphishing/antirootkit/anti-intrusion en cas de durcissement des tensions internationales avec un pays fournisseur de services. La notion de cyber-risques et de cyber-guerre liée à l’éventuelle exploitation d’attaques « remote » lancée par les vendeurs d’outils de protection périmétrique (sous la pression « amicale » de leurs gouvernements) ne serait également pas à écarter. Un risque souvent pris en compte par les DSI des grandes structures d’importance nationale, plus rarement considéré par les petites entreprises à haute valeur ajoutée …
Cette « légère bévue » commise par Kaspersky ne doit certes pas servir à condamner en bloc « l’incompétence ou la légèreté des éditeurs d’A.V. »… loin de là. Tous les tenants du marché de la sécurité pratiquent une politique du « meilleur effort », même si certaines pratiques ou options technologiques peuvent parfois prêter à discuter. Et Kaspersky est loin d’être le pire en la matière. Mais cette bonne volonté ne doit cependant pas noyer le responsable sécurité dans un angélisme béat. Qu’il s’appelle Symantec, Kaspersky, Sophos ou Tartempion, un éditeur peut être amené à servir, en cas de tensions politiques, les « intérêts supérieurs de la nation » et obéir, à son corps défendant ou non, aux « demandes courtoises » des autorités. Plus encore que dans le domaine des systèmes d’exploitation, les dangers de la « monoculture » sont présents dans tout ce qui touche à la protection des réseaux et des machines, surtout si lesdits outils de protection sont configurés en mode « mise à jour automatique ».
