Comprendre les menaces…

Bien des petites entreprises n’ont en réalité qu’une idée assez vague des risques encourus par les postes et leurs utilisateurs. Tout juste ont-elles conscience que les utilisateurs d’ordinateurs portables se connectent sur des réseaux non sécurisés aussi bien chez eux que dans les hôtels, aéroports et autres hotspots qu’ils fréquentent. Étant à l’extérieur des murs de l’entreprise, ils sont en effet totalement libérés des protections périmétriques que sont les pare-feu et autres équipements passerelles de sécurité du réseau interne. Et tous ceux qui pensent être à l’abri avec leurs pare-feu et VPN oublient un peu trop facilement la variété des attaques présentes, notamment sur la toile.

Ces mécanismes de défense sont ainsi totalement perméables aux pages Web infectées. Ils sont inutiles face aux scripts qui dérobent mots de passe et autres données embarquées dans le navigateur et ses caches. Ils sont tout aussi impuissants face aux techniques de « Drive By Downloads » qui poussent et exécutent des codes malveillants en profitant des failles non seulement présentes dans le navigateur ou dans le système mais aussi dans Java, dans QuickTime, dans Adobe PDF Reader ou encore dans Flash.

Parallèlement, et Conficker en est un formidable exemple, les menaces se sont particulièrement perfectionnées. Les "Bots" de dernière génération ne sont que des coquilles vides qui reçoivent, soit directement, soit plus subtilement via Google, à une heure seulement connue des cybercriminels (et le temps d’une attaque de quelques minutes seulement, d’où leur nom de « Storms »), un code malveillant qui est directement incorporé dans la coquille et exécuté sans qu’aucune écriture disque n’ait été réalisé ! Il devient dès lors très difficile pour un antivirus de capter de telles menaces d’autant que ces dernières utilisent les dernières méthodes de cryptage (Conficker fût le premier programme grand public à implémenter MD6 quelques jours seulement après la publication de la norme !).

… et les comportements

Et c’est sans compter avec la naïveté des utilisateurs aux comportements tellement prédictibles mais tellement dénués de bon sens ! Quelques exemples…

* Il y a ceux qui téléchargent des applications « conseillées par un ami » sans vérifier s’il le récupère bien sur le site de l’éditeur. Un comportement mis à profit par les cybercriminels qui fabriquent de faux sites de téléchargement et qui pervertissent Google pour s’assurer que ce site remonte en première page. L’utilisateur récupère bien le logiciel demandé (parfois en payant un outil pourtant gratuit) mais accompagné de trojans incorporés au package en bonus.

* Il y a ceux qui se laissent berner par des pages indiquant que leur player Flash n’est pas à jour ou qu’il leur manque un codec pour regarder la vidéo, avec un lien menant tout droit à un malware qui sera alors installé avec la totale approbation de l’utilisateur.

* Il y a ceux qui racontent leur vie sur Facebook et autres réseaux sociaux, laissant des indices précieux sur l’entreprise pour laquelle ils travaillent, sur leur département ou leur projet mais aussi sur leurs enfants, leur chien, leurs parents, leur première voiture, bref tous ces éléments « privés » qui sont systématiquement utilisés dans les questionnaires de récupération de mots de passe (quand ça n’est pas dans les mots de passe eux-mêmes)!

* Il y a ceux qui cliquent sans aucune curiosité pour la barre d’adresse sur ces liens « raccourcis » (TinyURL, Bit.ly, etc.) qui masquent les destinations réelles…

Autant d’exemples qui démontrent surtout que l’email n’est plus la principale voie d’infection. Certes les emails avec des pièces attachées infectées sont toujours présents et font de plus en plus appel à l’ingénierie sociale pour trouver les messages qui endormiront la vigilance de l’utilisateur. Mais aujourd’hui c’est bien le Web qui constitue la principale inquiétude. Réseaux-sociaux, liens et pages « d’amis inconnus » obtenus via Facebook, Twitter ou la messagerie instantanée, exploits embarqués dans les pages Web, Drive-by-downloads, etc. Pour trouver des sites infectés, il n’y a pas bien loin à chercher : placer de simples requêtes Web sur les sujets ou les stars du moment, visiter les blogs en vogue, suivre les Timelines de quelques personnalités Twitters disposant de plus de 150 000 followers, etc.