Défaitistes les responsables de la sécurité informatique ' Non, plutôt inquiets de la situation actuelle. Ils ont en tout cas tiré leurs conclusions de leur rencontre à la conférence mondiale du RSA qui s'est tenue dernièrement à San Francisco. Et elle est rude cette conclusion... Selon eux, à l'heure actuelle, il n'y a tout simplement aucune parade à la nouvelle génération de menaces et notamment celle du phishing dont sont victimes bien malgré eux les sociétés et internautes du monde entier.
Les éditeurs à la traîne
Un premier constat : les pirates sont devenus au fil des années de vrais professionnels de l'escroquerie, très ingénieux et ayant pour seule motivation l'argent. L'époque du gentil pirate qui s'amusait à pénétrer les systèmes par défi ou distraction est révolue. En une dizaine d'années on a vu peu à peu grandir la menace et aujourd'hui, ce sont de véritables bandes organisées qui mènent la danse de l'insécurité informatique.
Pour des objectifs commerciaux, industriels et même d'affaire d'état, rien ne semble freiner les pirates dans leurs démarches frauduleuses. Et tout le monde est concerné. Le particulier qui se croit protégé ne l'est plus forcément. Car aucune solution mise actuellement à disposition du grand public n'est capable de contrer les nouvelles attaques. Les éditeurs de logiciels de sécurité ont semble t-il pris un train de retard et ont tardivement pris le problème à bras le corps.
Le cas du Cross-Site Scripting
Si le catalogue des méfaits est aujourd'hui bien connu, le RSA s'est penché sur le cas particulier du phishing qui subtilise des informations confidentielles sur les postes cibles.
Un phishing nouvelle génération intitulé le Cross-Site Scripting (voir illustration ci-contre), une méthode qui permet de faire du phishing à partir du site véritable. Car même les plus malins se laissent duper, logiciels compris. Nous vous en parlions il y a quelques jours. C'est la banque elle-même qui ici nous induit en erreur ou plutôt nous maintient en confiance. La plupart du temps, le pare-feu n'y verra... que du feu. Les pirates ont rodé leur système pour passer toutes les protections en faisant des tests de réponses sur leurs cibles dans le but de découvrir des failles de programmation inconnues.
Si pour les grandes sociétés soucieuses de leur sécurité et de leurs données, un bon administrateur réseau réussira à isoler ces nouvelles menaces en virtualisant les échanges et en cloisonnant en quelque sorte les trafics de données, pour nous, simples utilisateurs d'Internet, aucune solution n'est véritablement efficace face à ces menaces en trompe-l'oeil.
La vigilance préconisée est pour l'instant de ne jamais cliquer sur un lien reçu par email même si celui-ci provient d'un tiers de confiance institutionnel comme une banque, une compagnie d'assurance ou même un commerce. Décidemment sur le web, la confiance, cela devient de plus en plus compliqué... et risqué.
Les éditeurs à la traîne
Un premier constat : les pirates sont devenus au fil des années de vrais professionnels de l'escroquerie, très ingénieux et ayant pour seule motivation l'argent. L'époque du gentil pirate qui s'amusait à pénétrer les systèmes par défi ou distraction est révolue. En une dizaine d'années on a vu peu à peu grandir la menace et aujourd'hui, ce sont de véritables bandes organisées qui mènent la danse de l'insécurité informatique.
Pour des objectifs commerciaux, industriels et même d'affaire d'état, rien ne semble freiner les pirates dans leurs démarches frauduleuses. Et tout le monde est concerné. Le particulier qui se croit protégé ne l'est plus forcément. Car aucune solution mise actuellement à disposition du grand public n'est capable de contrer les nouvelles attaques. Les éditeurs de logiciels de sécurité ont semble t-il pris un train de retard et ont tardivement pris le problème à bras le corps.
Le cas du Cross-Site Scripting
Si le catalogue des méfaits est aujourd'hui bien connu, le RSA s'est penché sur le cas particulier du phishing qui subtilise des informations confidentielles sur les postes cibles.
Un phishing nouvelle génération intitulé le Cross-Site Scripting (voir illustration ci-contre), une méthode qui permet de faire du phishing à partir du site véritable. Car même les plus malins se laissent duper, logiciels compris. Nous vous en parlions il y a quelques jours. C'est la banque elle-même qui ici nous induit en erreur ou plutôt nous maintient en confiance. La plupart du temps, le pare-feu n'y verra... que du feu. Les pirates ont rodé leur système pour passer toutes les protections en faisant des tests de réponses sur leurs cibles dans le but de découvrir des failles de programmation inconnues.
Si pour les grandes sociétés soucieuses de leur sécurité et de leurs données, un bon administrateur réseau réussira à isoler ces nouvelles menaces en virtualisant les échanges et en cloisonnant en quelque sorte les trafics de données, pour nous, simples utilisateurs d'Internet, aucune solution n'est véritablement efficace face à ces menaces en trompe-l'oeil.
La vigilance préconisée est pour l'instant de ne jamais cliquer sur un lien reçu par email même si celui-ci provient d'un tiers de confiance institutionnel comme une banque, une compagnie d'assurance ou même un commerce. Décidemment sur le web, la confiance, cela devient de plus en plus compliqué... et risqué.
