Quelles menaces Internet vous attendent en 2007 ?

Peu de virus, mais du vol de données personnelles sur les réseaux sociaux, davantage d'attaques « zero day », et bien sûr, toujours plus de spam.

La sécurité sur Internet connaît une mutation profonde. Il y a deux ans, 31 attaques virales de risque moyen ou supérieur étaient détectées. En 2006, le premier virus informatique de portée mondiale se fait encore attendre. Est-ce à dire que l'Internet est plus sûr ? Loin de là, à en croire François Paget, chercheur antivirus chez McAfee, pour qui « les cybercriminels ont délaissé les bons vieux virus pour des pratiques plus discrètes ». Avec un axe fort : le vol de données personnelles – compte en banque, identifiants divers – grâce à des techniques collant au plus près les nouveaux usages des internautes. On connaissait le phishing, qui malgré les quelques cas détectés « n'est pas encore un problème très important en France ». Dans un rapport publié vendredi, l'éditeur de sécurité met cette fois en garde contre les menaces sur les sites de réseaux sociaux, comme MySpace. « En créant votre profil en ligne, vous pouvez mettre à la disposition des cybercriminels une mine d'informations » qui ouvrent la voie à du vol d'identité, avertit McAfee. En outre, ces sites peuvent diffuser à leur insu des scripts malveillants, cachés dans les profils, ou encore plus récemment dans les vidéos, comme le ver Realor, identifié en novembre. « C'est quelque chose qui va prendre de l'ampleur », alerte François Paget.

Une fois l'accès à un ordinateur ouvert, les cybercriminels ont deux options. Non plus tout effacer, comme au temps des virus, mais récupérer toutes les données personnelles ou installer des robots émetteurs de spam. Pour cela, ils doivent exploiter des vulnérabilités des navigateurs Internet ou des systèmes d'exploitation. Et là, c'est l'explosion. La barre des 200.000 vulnérabilités listées a été franchie en juillet 2006. Les 300.000 devraient être atteints dès la fin de l'année prochaine. « Les vulnérabilités, plus on en cherche, plus on en trouve. C'est devenu un jeu, une manière de gagner de l'argent », reconnaît François Paget. En pratique, des chercheurs « petits et grands, honnêtes et malhonnêtes » sont encouragés parfois financièrement à trouver le plus de failles possibles dans nos applications. Résultat, une véritable économie se développe, où certains vont jusqu'à vendre aux enchères leurs découvertes de failles sur eBay. Le pire étant lorsque les vulnérabilités sont exploitées avant même la publication d'un correctif, ce que l'on appelle une attaque « zero day ». On en comptait 4 en 2004, et entre 38 et 51 en 2006 sur les logiciels de Microsoft. Découverte cette semaine, la dernière en date touche Microsoft Word.