Indexel

Les smartphones et sites web, cibles principales des hackers

Par Antoine Robin le 05/10/2011 - indexel.net
 

Le rapport semestriel X Force d’IBM note une forte augmentation des failles et de leur exploitation sur les smartphones. L’attaque des sites web par injection SQL reste une méthode prisée.

 

Chaque semestre, IBM publie son rapport X-Force Mid-Year Trend and Risk Report en se basant sur l'analyse quotidienne de près de 12 milliards d'événements de sécurité. Selon Big Blue, 2011 est « l'année des failles de sécurité » car leur nombre dépasse déjà le total de 2010. Leur augmentation est notamment due à l'ouverture du système d'information via les applications mobiles et le cloud computing. Chaque application métier critique posséderait une faille permettant d'exécuter du code à distance. Avec l'explosion du nombre d'applications web, l'injection SQL et l'exploitation de failles Javascript dans le navigateur internet restent les méthodes les plus prisées des pirates informatiques (ou hackers). Il faut dire qu'ils ont le choix de leur cible.

Selon IBM, 40 % des sites web des entreprises du Fortune 500 comportent des failles. Les pirates informatiques les scannent à la recherche de mots de passe à casser en « force brute », de partage réseaux Windows non protégés par mot de passe, d'injection SQL, etc. Un brin alarmiste, le rapport explique que « les attaques sont de plus en plus sophistiquées et que les pirates n'hésitent plus à passer des mois à les préparer méticuleusement. L'impact potentiel de ces attaques est tel que la sécurité n'est plus seulement le problème du DSI. Elle s'invite au comité de direction ».

Les risques de sécurité sont également liés aux logiciels des éditeurs. Le nombre de failles critiques dans ces logiciels est passé de 1 % en 2009 à 3 % en 2011. Selon IBM, dix logiciels concentrent 25 % des failles les plus critiques. Sans dévoiler de nom, le rapport note une hausse significative des failles présentes dans les nombreux lecteurs bureautiques (PDF par exemple) et multimédia installés sur le poste de travail de l'utilisateur.

Paradoxalement, les efforts des entreprises et des éditeurs portent pourtant leurs fruits. Les volumes de spam sont en nette diminution (notre article http://www.indexel.net/article/bonne-nouvelle-le-spam-est-en-crise-3396.html) depuis le démantèlement du botnet Rustock et le phishing a fortement reculé sur le premier semestre 2011. Mieux, les vulnérabilités web sont passées en quelques années de 50 % des failles découvertes à 37 % et le nombre de failles critiques est en diminution permanente.

L'explosion du nombre de terminaux mobiles est un nouvel eldorado pour les pirates. « Le nombre de malwares augmente continuellement sur les smartphones » note le rapport. Du fait de son ouverture, Android est une cible privilégiée. Les pirates développent des logiciels malveillants qu'ils présentent comme d'inoffensives applications. Comme les opérateurs ne sont pas pressés de mettre à jour les téléphones qu'ils proposent à leurs clients, les failles de sécurité ne sont pas toujours colmatées à temps. Selon IBM, le nombre de méthodes d'attaques différentes visant les mobiles a doublé entre 2009 et 2011, en passant de 18 à 35. Et le nombre de failles a été multiplié par trois (de 65 à 180).