Retour sur l’année 2005

Date :05 Janvier 2006

Publication: Article

Nous retiendrons de l’année 2005 qui vient de s’achever quelques nouveautés, mutations et confirmations.
Parmi les nouveautés, saluons les efforts de normalisation dans le domaine de la veille de sécurité, avec l’émergence de standards pour l’identification et la classification des vulnérabilités (CVSS), et des malwares (CME).
Bien que certains aient pu débattre de l’utilité de ces classifications, le Cert-IST, dans la continuité de ses efforts pour jouer son rôle au sein du FIRST et des organisations internationales (CVE-Mitre), a décidé d’en favoriser l’adoption en montrant l’exemple.
Les cas récents du ver "Sober" ou du rootkit Sony semblent nous donner raison.
Ainsi "Sober", ver ancien qui connaît régulièrement des variantes (n’ayant quasiment plus aucun rapport avec la souche originelle) a vu sa dernière apparition de novembre être affublée des étiquettes "ag", "w", "x", "y" ou "z" suivant les éditeurs, et l’appellation CME-681 a été la bienvenue pour mettre tout le monde d’accord.
De même le vrai-faux rootkit de Sony, initialement conçu comme un outil de DRM (Digital Rights Management), a tout d'abord dégradé la sécurité des postes sur lesquels il s’installait avec un consentement peu éclairé, avant de mettre en place une véritable faille de sécurité lorsque l'on essayait de le désinstaller.
Ce feuilleton qui s’est déroulé dans un certain flottement des éditeurs d’outil anti-spyware, qui hésitaient à le qualifier comme tel, a montré qu'une standardisation de la définition des "adware" et "spyware", basée sur une évaluation standardisée et reconnue de leur caractère intrusif était nécessaire.

Dans le registre des mutations et confirmations, on notera une meilleure gestion de leurs priorités et de leurs bulletins de sécurité (mensuels…) par certains éditeurs, mais toujours un manque de maturité avéré chez d’autres, qui préfèrent encore pratiquer l’intimidation plutôt que la concertation.

Nous avons aussi remarqué une concomitance des annonces de failles sur des familles de produits (outils de sauvegarde, antivirus etc …) qui traduit une industrialisation de la recherches des failles. Lorsqu’une faiblesse est découverte dans un certain type de logiciels, cela active la recherche et la découverte de faiblesses similaires dans tous les logiciels similaires et concurrents. Cela se produit par exemple en ce moment pour "la famille PHP".

Le logiciel Firefox, dérivé de Mozilla, a d’ailleurs fait les frais de cette recherche systématique, et au troisième trimestre 2005 le nombre de failles identifiées dans ce navigateur s’est rapproché du nombre de failles affectant Internet Explorer. Ce dernier a toutefois fait l’objet tout au long de l’année des attaques les plus violentes ou rapides, amenant à l’émission de 3 DanGers potentiels. A la fin 2005, le Cert-IST considère que la situation s’est rééquilibrée.

De même, la professionnalisation croissante des auteurs de codes malveillants, déjà signalée par le Cert-IST depuis longtemps ("les auteurs de virus deviennent des mercenaires") s’est traduite cette année par une diversification des moyens de propagation, avec une forte hausse des attaques par messagerie instantanée, ou le parasitage des sites gratuits d’hébergement et de blogs, le tout le plus souvent dans le but de constituer et d’utiliser de plus en plus "efficacement" les "botnets" comme vecteur d’attaque.

A noter que cette professionnalisation ne s’est pas encore étendue totalement aux attaques par "phishing", du moins en ce qui concerne les attaques affectant des victimes (banques ou internautes) en France. En dehors de quelques cas isolés et peu médiatisés, les cas dont la presse s’est emparée en 2005 étaient encore d’une sophistication discutable. Toutefois la montée en puissance des "spywares" spécialisés et autres "keyloggers" devrait nous inciter à ne pas relâcher notre vigilance.
A moins que l’interception ou la compromission de banques de données complètes chez des « professionnels » - fait majeur en 2005 aux Etats-Unis, mais heureusement encore marginal pour la communauté Services et Tertiaire Française- ne prennent le pas sur les techniques d’interception « un par un ».

Enfin les outils de communication multimédia, qu’il s’agisse des mobiles 3G, ou de la VoIP par exemple, s’ils ont été à l’origine de plusieurs polémiques (on se rappelle "blackberry" ou "skype"), n’ont pas -encore- par contre subi les attaques massives que l’on craignait. Le franchissement affiché du seuil "du million d’abonnés 3G" par certains opérateurs va peut-être néanmoins donner des idées à certains.

Saluons enfin la nouvelle mouture de notre site web ainsi que le fonctionnement du Hub de Crise, illustré par la gestion de la crise virale Zotob au mois d'août.

Celle-ci aura d’ailleurs confirmé que l’année 2005 aura bien été une année d’accélération du cycle faille-attaque, de préférence lors d’une période de relâchement des lignes de défense, illustrée par le ver "Zotob" mi-août, et l’attaque sur la faille "WMF" entre Noël et jour de l’an.
Il est probable que ces coïncidences n’en soient pas, et qu’en 2006, les hackers soient de plus en plus capables de "retenir" la divulgation des vulnérabilités jusqu’au moment où ils ont l’intention de s’en servir.