Est-il réaliste de penser que les ténors de la sécurité informatique en « mettent trop », dans l’espoir d’attirer l’attention et, qu’en ce sens, il faudrait prendre leurs chiffres « spectaculaires » avec un grain de sel? S’il en est ainsi, on n’est pas sorti de l’auberge!
La semaine dernière lors de Vision 2010, un événement annuel réunissant Symantec, ses partenaires et ses clients, la géante californienne de la sécurité informatique remettait aux médias la quinzième édition de son Internet Security Threat Report. Ce compte-rendu annuel m’est vite apparu comme décrivant la pire situation jamais présentée, ce que m’ont confirmé les experts de Symantec. En gros, les organisations américaines et celles des autres pays industrialisés sont constamment sous attaque.
En 2009, le nombre de chtouilles (logiciels malveillants ou « malware ») qui ont obligé Symantec à intervenir (la pire étant probablement Hydraq/Aurora, celle que Google et consorts ont dû combattre récemment), représentait une augmentation de 71 % sur 2008, soit plus de 470 millions de logiciels malveillants. Pire, 51 % de ce grouillis de vers, de rootkits, de chevaux de Troie et autres bibittes était du flambant neuf, du jamais vu, soit 240 millions de produits sulfureux, dont plus de la moitié (57 %) correspondait à des « singletons » (un seul PC visé, généralement celui d’un utilisateur pouvant constituer une porte d’entrée dans un réseau). Tant et si bien, affirment les signataires du rapport, qu’on en serait rendu à 100 attaques à la seconde, des attaques de source essentiellement criminelle, dont 22,5 % pourraient affecter sérieusement un PC.
Phénomène nouveau, 3,1 % du « nouveau matériel » portaient la signature de Zeus, un coffre d’outils malveillant que l’on retrouve sur le marché moyennant quelque 700 $ US, ce qui inclurait le… service après-vente. Évidemment, Zeus ne serait pas seul à faire saliver les apprentis criminels. De tels coffrets se font concurrence et certains sont même gratuits. Cette nouveauté serait une des explications de la croissance remarquable qu’ont connue les « botnets »,soit ces réseaux de PC zombis responsables, en 2009, de l’émission d’environ 85 % de la masse mondiale de pourriels (88 % de tout le courriel); on évaluerait à quelque 7 millions le nombre de PC mis en réseau malveillant à l’insu de l’utilisateur.
Bref, plus ça va, pire c’est, plus il y a de criminels, plus il y a d’organisations plus ou moins structurées en mafias, moins il y a de « petits comiques » en quête de l’exploit qui leur assurera un job pénard en sécurité informatique. À cela, une raison importante : il est de communes renommées que les crimes informatiques rapportent plus que les méfaits traditionnels (hold-up, cambriolage, kidnapping, etc.), en même tant qu’ils sont beaucoup moins dangereux ou inquiétant pour les praticiens. Ce serait devenu un moyen « recherché » pour gagner sa vie sans trop se stresser.
C’est quelques chiffres étayent un peu ce que je vous racontais la semaine dernière, à savoir qu’aujourd’hui, les entreprises sont constamment sous attaque! Elles sont dans le collimateur de bandes de criminels organisées ad hoc qui sont à la recherche de propriété intellectuelle, de données stratégiques et de secrets industriels dans le but d’en faire le commerce ou d’honorer un contrat. L’Internet Security Threat Report précise que 78 % des attaques auraient visé le secteur financier.
Propos repris par Larry Clinton, le président de l’Internet Security Alliance (ISA) devant les participants à Vision 2010. On en est rendu, a-t-il soutenu, qu’il se vole par année, de par le monde, pour un billion de $ US (1) en propriété intellectuelle et en secrets d’entreprise. Le chiffre est énorme et il est soutenu, décortiqué et prouvé dans une publication disponible gratuitement sur le site de l’organisme.
Mutisme organisationnel
Le problème avec ces chiffres, c’est que pour le commun des mortels, ils sont « spectaculaires ». Ils ne correspondent pas du tout à l’image que ces gens se font de la cybercriminalité. Pourquoi en est-il ainsi? Bien souvent parce qu’ils ne sont pas conscients qu’eux-mêmes ou que l’entreprise où ils travaillent ont été victimes d’attaques criminelles. Mais surtout, m’a expliqué un VP exécutif de Symantec, M. Francis deSuza, aucune organisation n’a intérêt à publier des infos à l’effet qu’elle vient de se faire voler telle paperasse confidentielle et stratégique.
Malgré la loi américaine qui oblige les entreprises à déclarer tout vol de propriété intellectuelle, de secrets manufacturiers ou autre information pouvant lui nuire dans la mesure où les intérêts de l’actionnaire peuvent être lésés (loi qui varie selon les états, la plus sévère étant celle de la Californie), le silence semble pratique courante. Pour le moins, les gros titres en ce sens ne sont pas fréquents. D’où le fait que le public en général ne sait presque rien des activités sur ce front. Parfois quelque chose de plus « spectaculaire » se produit (p. ex. ces municipalités américaines qui se feraient attaquer une à une ces temps-ci) et ils en savent quelques parcelles en lisant le journal. Bref, l’idée qu’ils se font de ce lucratif fléau en croissance magistrale est très différente de celle qu’ont les experts ou les responsables informatiques dans les entreprises.
M. deSuza m’a brandi son BlackBerry et m’a montré un fil RSS spécialement conçu pour présenter aux experts une synthèse (avec liens) des attaques en cours ainsi que leurs objectifs. Ce que j’ai vu était du « sans arrêt » et, chaque fois, de gros sous étaient en jeu. J’ai beau être sceptique et croire que Symantec et sa concurrence sont là pour engranger sous et profits, j’ai beau imaginer qu’elles ont tout intérêt à agiter des épouvantails, force m’a été d’admettre qu’il se passait des choses, cela à grande échelle.
Comme la réalité est infiniment pire que ce qu’en disent les gens, lorsqu’un journaliste leur donne les chiffres avec des exemples, ils ne le croient pas. Ils vont conclure à de l’exagération, ils vont accuser le malheureux scribe d’agiter un épouvantail et de « faire la job » de Symantec ou de la boîte qui lui aura donné l’information. Peut-être, aussi, refusent-ils d’admettre que leur PC pourrait avoir été intégré dans un « botnet », ou que leur page Facebook pourrait avoir aidé les criminels à pénétrer dans le réseau de l’entreprise comme je vous en faisais la démonstration la semaine dernière.
Allez savoir! Pour le moins, ce phénomène d’incrédulité rend service aux cybercriminels, dans la mesure, évidemment, où cette engeance occulte existe vraiment. Vous croyez tout ce qui est écrit dans les journaux, vous?
(1) Note sur le mot “billion”: Au Québec, on utilise le système européen non anglophone de numérotation. Ainsi, on a “million”, “milliard”, “billion”, “billiard ou mille billions”, “trillion”, “trilliard ou mille trillions”, etc. Les “iards” suivent les “ions”. Mais en Anglophonie, incluant le Canada anglais, on a “million”, “billion”, “trillion”, “quadrillion”, “quintillion”, etc., ce qui génère souvent de la confusion. Par exemple, “one trillion US dollars” se traduit par “un billion de dollars américains”.
Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.