Sur le Web, l’insécurité concerne désormais même les sites légitimes

Le Web n’est plus l’endroit sûr qu’il fut un temps. Pour IBM, et sa division sécurité ISS, on assiste même, depuis près de deux ans, à une véritable « explosion » des risques liés au Web. Une analyse partagée par l’éditeur Kaspersky qui relève une nouveauté : « il y a quelques années, il fallait visiter des sites pirates pour se faire infecter ; désormais, des sites parfaitement légitimes sont compromis. »

La branche recherche de la division d’IBM, l’X-Force d’ISS, vient de rendre son rapport de milieu d’année. Son bilan n’est pas très rassurant. Certes, « le nombre de nouvelles vulnérabilités découvertes au cours du premier semestre est au plus bas niveau depuis 4 ans, et le nombre de nouvelles vulnérabilités très dangereuses est en recul de près de 30 % sur un an. » Mais il s’agit là d’une bonne nouvelle en trompe l’œil. Pour Loïc Guézo, directeur de la division sécurité d’IBM, ISS, en France, « l’une des conclusions principales de ce rapport, c’est que le Web est devenu un espace d’insécurité. C’est sur lui que doivent se porter les efforts et les attentions des entreprises en matière de sécurisation. La moitié des vulnérabilités découvertes au premier semestre 2009 sont liées aux applications Web et c’est clairement vers là que les efforts des pirates se tournent. » Un constat que partage Roel Schouwenberg, chercheur en virologie dans les équipes américaines de Kaspersky : « le changement, c’est qu’il y a quelques années encore, il fallait consulter des sites pirates pour se faire infecter ; désormais, les sites légitimes sont compromis. »

Une remarquable porte d’entrée sur le poste de travail

De fait, le Web constitue une porte ouverte sur les postes de travail. Roel Schouwenberg relève ainsi que « les méchants peuvent tirer parti de nombreuses vulnérabilités. D’abord sur le serveur Web – mots de passe peu sûrs, failles, injections SQL, etc. L’injection d’un simple petit bout de script dans une page Web suffit à forcer une connexion automatique vers un site malicieux. Mais les attaques zéro day sont de plus en plus utilisées, visant des sites précis. Même un utilisateur un peu novice peut acheter un pack exploit et l’installer sur un site Web ; ça lui coûtera de 75 à 3 000 $. »

Et, côté poste client, le problème ne vient pas que du navigateur Web : « cette année, Internet Explorer a même été détrôné par Firefox en termes de nombre de vulnérabilités découvertes, » explique Loïc Guézo. La menace est plutôt à chercher du côté des extensions : les composants ActiveX, Flash, les fichiers PDF, etc. Comme le relève Roel Schouwenberg, Flash est un composant extrêmement attrayant pour les pirates : « réussir à atteindre Flash, c’est aussi efficace que toucher le cœur de Windows, voire plus encore. » Et, pour ne rien gâcher, il est potentiellement plus difficile d’assurer la mise à jour régulière des composants d’extension du navigateur Web que celle du navigateur lui-même…

La prévention d’intrusion, sur le poste de travail

Outre la sensibilisation, Loïc Guézo et Roel Shouwenberg se rejoignent pour évoquer la protection du poste de travail, par des dispositifs de prévention d’intrusion (IPS), directement sur le PC. Une protection d’autant plus nécessaire, selon eux, que les DSI sont soumises à la pression des utilisateurs, notamment pour accéder à des sites dits Web 2.0, comme ceux des réseaux sociaux.

Et Loïc Guézo de se souvenir de quelle manière les directions informatiques ont progressivement mais continuellement reculé face à cette pression, que ce soit pour l’accès aux lecteurs de disquettes, de CD, aux clés USB, à la messagerie électronique… : « le domaine contrôlé n’a pas cessé de se réduire. Mais lorsque la DSI ouvre un nouveau domaine, elle doit le maîtriser. » Une question d’autant plus sérieuse avec le Web social qu’un Facebook, par exemple, compte plus de 25 000 applications tierces. Un processus de vérification a été lancé en 2008, après qu’un premier malware – ou plutôt une preuve de concept – a été découvert. Mais, en mai 2009 par exemple, seulement 120 applications avaient été vérifiées, selon Kaspersky.

Source : Le mag IT

A propos de la solution TooFAX® :

TooFAX® est une solution moderne et innovante de Fax dématérialisé, vous permettant l’envoi, la réception, et la sauvegarde de Fax par Internet et ou par e-mail. Depuis votre ordinateur de bureau ou portable, votre PDA, etc, TooFAX® vous permet de faxer par mail sur les 5 continents.

TooFAX® est la synthèse entre les atouts du Fax (rapidité, valeur juridique) et l’aspect pratique de l’e-mail.

Actualité de TooFAX® :

fax mailing facebook fax mailing wordpress fax mailing twitter

– Site internet : http://www.toofax.com

– Site du service : http://www.service.toofax.com

– Vidéos de démonstration : http://www.video.toofax.com

– Groupe Facebook : http://www.facebook.com/toofax

– Club des utilisateurs de la solution : http://www.club.toofax.com

– Actualités en ligne des services TooFAX® :  http://twitter.com/toofax

– Blog  officiel de la gamme de services TooFAX® : https://toofax.wordpress.com/

– Base de données gratuite de n° de fax pour vos opérations de faxing : http://www.toofaxdata.com

Publicités

Étiquettes : , , , , , , , , , , , , , , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s


%d blogueurs aiment cette page :