"Contre les nouvelles attaques de phishing, il n'y a rien à faire"

A écouter les spécialistes réunis à la conférence mondiale de la sécurité RSA, le web est une jungle où pullulent pièges et escrocs. Face à la technicité croissante des hackers, la prudence reste l'arme la plus efficace. Interview de Jeremiah Grossman, fondateur de WhiteHat Security.

Phishing, vol d'identité, fraude... autant de menaces que les internautes et les entreprises ne peuvent plus se permettre d'ignorer. Car les utilisations "critiques" d'Internet se banalisent : que ce soit pour travailler et accéder aux informations de son entreprise, mais aussi pour payer ses impôts, gérer son compte en banque ou encore acheter en ligne. A la conférence mondiale de la sécurité informatique RSA, qui s'est tenue cette semaine à San Francisco, les nouvelles n'ont pas été vraiment rassurantes: les réseaux criminels recrutent des hackers pour leurs activités tandis que les attaques se sophistiquent, ne laissant plus aucune chance à l'internaute étourdi. Etat des lieux avec Jeremiah Grossman, co-fondateur de l'entreprise de sécurité WhiteHat Security.

Que nous réserve 2007?
Cela fait dix ans que je travaille dans le secteur de la sécurité et je vois que la mentalité des pirates a radicalement changé. Au début, les hackers étaient des étudiants ou bien des gens qui avaient du temps libre et qui pénétraient dans des sites pour s'amuser. On apparentait cela à du graffiti numérique. Aujourd'hui, l'argent est la principale motivation des attaques sur Internet. Les malfaiteurs n'hésitent plus à engager des pirates pour les aider à voler les numéros de carte de crédit, les codes d'identification des internautes, ou pour prendre le contrôle de leur PC, afin d'accéder à leur compte en banque ou de courtage. L'espionnage industriel se trouve aussi derrière de nombreuses incursions dans les sites informatiques de grandes entreprises, tout comme le piratage venant de pays étrangers (les Etats-Unis soupçonnent la Chine de vouloir voler des informations sur les technologies nucléaire, ndlr). Notre analyse révèle que 8 sites Internet sur 10 sont aujourd'hui vulnérables aux attaques, le reste étant des sites "vitrines" qui n'ont pas vraiment d'activité commerciale ou de bases de données. Mais, le plus grave, c'est que les vulnérabilités de ces sites constituent un véritable danger pour ceux qui y accèdent, à commencer par leurs clients.

Quels sont ces risques?
Tout le monde connaît désormais le phishing où un pirate essaye de vous diriger vers un site bidon qui ressemble à s'y méprendre à un site connu. Aujourd'hui, tous les logiciels ou services d'anti-phishing travaillent sur des listes continuellement mises à jour de ces sites pirates. En revanche, des techniques comme le Cross-Site Scripting (XSS) permettent de faire du phishing à partir d'un vrai site! En effet, le pirate vous envoie un lien vers une destination réelle, comme Google.com, mais en y cachant du code Javascript. Et si vous cliquez, c'est Google qui vous renverra ce programme malicieux au lieu d'afficher un message d'erreur. A partir de ce moment, le pirate obtient le contrôle total de votre PC, sans que vous ayez la moindre idée de ce qui s'est passé. Le pire, c'est que cette attaque peut avoir lieu au moment où vous effectuez une transaction, même si celle-ci est cryptée, que tous les logiciels (système d'exploitation, serveur Web...) ont été mis à jour et que le pare-feu est parfaitement configuré. La faille se trouve en effet au niveau du site visité et des applications propriétaires qu'il a développées (webmail, e-commerce, etc...). Pour découvrir ces vulnérabilités, inconnues même des développeurs de l'application, les pirates envoient des milliers de tests sur le site visé et ils étudient les réponses de ce dernier. Ils peuvent ensuite développer leur attaque.

Comment se protéger contre ces menaces?
Malheureusement, aujourd'hui, il n'y a rien à faire. Au niveau du serveur Web, notre service scanne le code des applications propriétaires afin de détecter les éventuelles failles. En revanche, côté poste utilisateur, les éditeurs de logiciels anti-virus ou de navigateurs Internet commencent à peine à travailler sur la question. Certains utilisateurs avertis utilisent des logiciels de virtualisation pour isoler la navigation Internet du reste des applications afin que ce type d'attaque ne puissent pas conduire à une prise de contrôle de leur PC. Mon conseil est tout simplement de ne pas cliquer sur les liens que vous recevez par email. Car même si le lien provient du vrai site, vous courrez toujours le risque de ces nouvelles attaques de phishing