Le SANS Institute (SysAdmin, Audit, Network, Security) diffuse son rapport annuel sur les menaces informatiques via Internet. Intitulé « Top-20 Internet Security Attack Targets » il délivre les principales attaques utilisées durant l’année 2006 sur le réseau Internet.
Bien entendu les attaques basées sur Internet Explorer, Windows et Office sont en première place. La raison n’est pas « normal c’est Microsoft », mais plutôt tout simplement car ces logiciels sont présents à peu près partout sur les postes des utilisateurs. Normal donc que les personnes malveillantes (pirates) recherchent et exploitent les failles sur ses produits largement diffusés.
Néanmoins, on pourra remarquer l’arrivée de Mac OS X dans ce classement. Il semblerait en effet que les développeurs de ce système d’exploitation n’aient pas porté une grande attention à sa sécurisation. Dommage, d’autant que les utilisateurs de Mac, ont cette « impression de confiance » sur la sécurité de leur système (largement promu par Apple…).
Un type d’attaque a bien progressé : l’exploitation de failles sur les applications Web (CMS, framework, etc). Les développeurs d’applications Web n’ont pas forcément la fibre sécuritaire, du coup, il est souvent possible de récupérer / d’accéder à des données protégées sur un extranet ou sur une interface d’administration d’un outil de gestion de contenu. Ce type d’attaque (des centaines de nouvelles failles découvertes par semaine) devrait continuer à progresser compte tenu de l’augmentation de l’utilisation d’outils CMS/WCM et de sites Web « dynamiques ».
Ces failles « humaines » sont aussi dans ce classement. En effet, parfois le piratage de données (code d’accès à son compte en ligne par exemple) est rendu possible grâce à la crédulité des utilisateurs. Ces attaques (appelés « phising ») consistent (par exemple) à se faire passer pour une entité connue (par exemple votre banque) à travers un mail, site web, etc… (reprise du logo, charte graphique, etc) et vous invite à vérifier votre mot de passe d’accès, en le re-saisissant via un formulaire web (qui l’enregistrera soigneusement à des fins d’utilisations malveillantes…)
Les attaques de type ZDE (Zero Day Exploit) sont aussi en progression cette année. Elles consistent à exploiter une faille de sécurité annoncée sur un logiciel avant que le patch ne soit disponible. Pendant ce laps de temps, votre poste est exposé, sans moyen de protection…
Le rapport nous donne aussi d’autres types d’attaques entre autres : sur les systèmes de voix sur IP (VoIP), le partage en P2P, les messageries instantanées (pour la diffusion des sypwares, malwares, etc.).
Quelques pointeurs :
Les failles zéro-jour frappent massivement Microsoft
Le phishing coûtera près de 3 Md$ aux internautes américains
Le facteur humain parmi les principaux risques selon le SANS