mercredi 14 janvier 2009

Pis que pendre...

Encore une fois, nous revenons à la charge menée contre la "cyberguerre" et dévoilons ici une nouvelle dimension de ces conflits.

La presse spécialisée dans le domaine de la sécurité informatique s'est récemment faite l'écho de la publication par divers organismes américains, agences fédérales et organismes privés, du Top 25 des plus grandes erreurs de programmation engendrant des failles de sécurité.

Bien évidemment, les grands éditeurs de logiciels ont participé comme Microsoft, Symantec mais aussi Oracle (un des leaders en matière de bases de données) mais ils sont aussi les cibles premières de ces erreurs.

Il n'est pas besoin d'expliquer un quoi une erreur dite applicative (càd d'une application, d'un programme) dans un programme trés répandu (Ex. Windows utilisé par environ 95% des machines dans le monde) peut être très attractive pour les pirates de tout poil ou faciliter une opération militaire quelconque intégrant une dimension informatique.

Il existerait un "marché" des failles dites 0-Day, c'est à dire des failles dans des programmes et n'ayant pas encore de solution publiée (de type patches par exemple). Ce type de marché est un indicateur clair de l'importance que peuvent prendre ces failles.

Le politologue Jean-Loup SAMAAN appelle dans un article publié dans la revue Politique Etrangère à une plus grande utilisation des partenariats public-privé. On ne saurait trop insister sur l'importance qu'il y a à pouvoir être certain que les applications les plus largement utilisées dans nos organisations, tant publiques que privées, applications n'étant d'ailleurs que rarement française, soient suffisamment sécurisées pour n'offrir que peu de prises à des attaques de provenance diverses.

Il suffit de deux exemples pour étayer cette thèse : le très grand nombre (encore) de wifi facilement "captable" et uniquement protégé par des "clés" WEP...Il suffit pour un "hacker" de très très bas niveau, de quelques secondes, pour percer à jour cette clé et utiliser librement le réseau. Wired rappelait ainsi que les services de sécurité indiens avait mis au jour l'importance de ces réseaux wi-fi faiblement protégés dans les attentats de Mumbai. A tel point que lesdits services se permettraient de chercher et de débrancher lesdits wifis...

Plus encore, la DCSSI (organisme gouvernemental en charge de la sécurité des SI) aurait émis en direction de Microsoft une demande expresse accompagnée de critiques sévères concernant le niveau de chiffrement protégeant les mots de passe des utilisateurs Windows.

La solution n'est pourtant pas forcément dans le logiciel libre mais elle est certainement présente dans une approche globale de cette réalité et dans une prise de conscience largement répandue...

Source : http://www.lemondeinformatique.fr/actualites/lire-la-nsa-liste-le-top-25-des-erreurs-de-programmation-ouvrant-des-failles-de-securite-27812.html // http://blog.wired.com/defense/2009/01/open-wi-fi-is-f.html // http://www.spyworld-actu.com/spip.php?article9696 (notez la mention "certifiée" des lignes de code qui indique une réflexion sur les failles décelables, un "audit" des programmes)

Aucun commentaire:

Enregistrer un commentaire