Sécurité Entreprise: Fais-moi peur avec quelques chiffres

L’un des domaines les plus épargnés par la crise semble être celui des statistiques sur la sinistralité informatique. Ce mortier avec lequel l’industrie de la cyberprotection fait des affaires prend, ces temps-ci, des airs de requiem. Les sites Web dangereux, par exemple, ont vu leur nombre croître de 182% nous affirme une étude de MessageLabs . A l’origine de cette inflation, les botnets Grum et Rumstock. L’intervention de Microsoft contre les sites de la filière Waledac n’aura eu que peu d’effets, le pic d’activité de ce botnet ayant culminé durant le mois de janvier. Le spam, quand à lui, est en constante baisse. Baisse essentiellement volumique, puisqu’en terme de nombre d’emails expédiés, ce serait plutôt le contraire. La raison ? L’hébergement des images sur des sites distants. En diminuant le volume de chaque pourriel, les polluposteurs peuvent en expédier beaucoup plus à la minute. Simple logique stakhanoviste.
Encore des chiffres à ne pas lire avant de s’endormir : Les métriques des logiciels vulnérables. Selon Veracode, qui a reposé son analyse sur 1600 programmes OpenSource, outsourcés et propriétaires, 58% des logiciels utilisés en entreprise sont susceptibles d’être la cible d’une attaque à grande échelle. Dans certains secteurs, ce taux peut même grimper à 88%. Seuls les domaines de la finance et des institutions gouvernementales semblent mieux logés, avec « plus de la moitié » des dotations logicielles capables de passer avec succès les premiers tests de qualification de sécurité choisis par Veracode.
Le dernier chiffre déprimant de ce début de semaine nous est offert par BitDefender, chasseur de virus professionnel, qui publie chaque mois un hit parade des malwares les plus actifs. 9% des infections du mois de février l’ont été à cause du dénommé Trojan.AutorunInf.Gen. Un vecteur de propagation peu original, qui saute de disque amovible en clefs usb ou cartes mémoire. Un triste remake des « virus disquette » qui ne connaissent pas IP ou les partages SMB. Ce qui prouve que la sophistication technique n’est pas toujours preuve d’efficacité. Le second sur la liste, avec 6,24 % des attaques, est le tristement célèbre et presque ancêtre Downadup, alias Conficker, dont on ne parvient toujours pas à se débarrasser. En troisième et quatrième place, respectivement à 5,13 et 4,21% des infections constatées, l’on retrouve Exploit.PDF-JS.Gen et Exploit.PDF-Payload.Gen, deux codes malveillants qui tirent profits des imperfections de code d’Adobe, lesquelles ont très souvent fait la manchette des journaux durant les mois de décembre et janvier dernier.
Un dernier chiffre-catastrophe : 100. C’est le nombre supposé d’entreprises qui auraient été attaquées avec succès par l’opération Chinois « Aurora » dont a été victime Google et Adobe. Des chiffres avancés par le patron de la société Isec Partners, et très éloignés des quelques « 25 victimes supposées » lorsque les faits ont été révélés. Isec en profite pour publier une sorte de « checklist »  à l’attention des entreprises pouvant craindre de telles tentatives de pénétration. 6 pages de conseil au fil desquelles on se rend rapidement compte que la majorité des entreprises auront beaucoup de mal à en suivre les grandes lignes. « Consider an external Forest with a two-way trust for remote offices »… « Deploy read-only domain controllers in overseas offices »… Jouer avec les ADS est un sport de combat déjà éprouvant dans le cadre d’un seul domaine. S’amuser à jongler avec des forêts est encore moins à la portée du premier venu. D’autres conseils, tels que celui visant à concaténer au maximum tous les logs –IDS, Proxys, accès Web, login SSH etc- sous entend la présence d’une équipe compétente est surtout disponible… rien n’est plus harassant que de fouiller dans des journaux d’événements à la recherche d’une éventuelle trace d’intrusion. Si l’on excepte effectivement des entreprises de la taille de Google ou d’Adobe, bien rares sont les sociétés qui ont eu ou qui auront à la fois le courage, les moyens techniques et humains et la conscience du risque réel face à une nouvelle attaque Aurora. Il est fort probable que ce blitzkrieg informatique ait touché plus de sites informatiques que ne le laissent supposer les premières estimations, mais le fait risque d’être difficile à prouver.