L'acronyme SATAN (Security Administration Tool for Analizing Networks) fait frémir les responsables sécurités.
Libre depuis le 5 Avril 1995, ce logiciel repère les trous de sécurité de tout système UNIX connecté ou non à l'Internet .
Quand les failles sont mises à jours, il ne reste plus qu'à les exploiter pour causer des dégâts. " Les techniques sont non-intrutives, il n'y a donc jamais d'intrusion " , avertit Dan Farmer, l'ex-ingénieur de SUN à l'origine de SATAN., aujourd'hui consultant indépendant.
Sa dernière " étude " rendue publique en décembre 1996 fait froid dans le dos : plus de 2200 serveurs Web ont été scannés, dont des sites du gouvernement américain, de banque, d'organe d'information et de grandes firmes.
Deux types de dangers : pour l'usager, perte de confiance à laisser ses numéros de carte de crédit ; pour la société, c'est la porte ouverte aux autres serveurs de l'intranet, sans compter le déficit d'image d'un piratage à sensation...
Résultat des " attaques amicales " de Farmer :60% des sites peuvent être " cassés " et plus de la moitié présente des problèmes de sécurité majeurs. Il suffirait d'un rien pour détruire les données de plusieurs d'entre eux. Ci dessous le tableau récapitulatif de ses attaques :
Type de site Nombre de sites visités Sites vulnérables (%) Graves problèmes de sécurité Banques 660 68,33 35,61 Autres établissement de crédit 274 51,09 20,44 Sites gouvernementaux 47 61,70 38,30 Médias 312 69,55 38,78 Sites pornographiques 451 66,08 25,50 Totaux 1734 64,94 31,08 Attaques au hasard 169 33,05 17,27
Surtout, le taux de faille dans ces sites " sensibles " est deux fois plus élevé que des sites attaqués au hasard
Selon Farmer, l'erreur des sociétés piégées est de multiplier les services. Il suffit alors d'une seule faille de configuration dans un des programmes pour compromettre la sécurité de l'ensemble du serveur. Pas très rassurant pour le moral du commerce électronique.
Pas un seul mois sur un écho de l'Internet sur une affaire de piratage de site Web. En février, ce fut le tour de jeune Croates qui disent s'être attaqués à des sites militaires américains, alors que des militants portugais ont pris pour cible le serveur du gouvernement Indonésiens, pour protester contre la politique au Timor Orientale. La CIA, le ministère de la justice et l'US Air Force ont subit aussi leur heure de gloire. Comme François Fillon, l'an dernier qui s'est fait biffer son CV affiché sur le Web du ministère.
Certes, ces attaques à sensations ne sont qu'un pic de glace dans l'iceberg de la sécurité informatique. La vraie vulnérabilité d'une société n'est pas seulement sa vitrine Web, qui attire les hackers comme des ours sur un pot de miel. Mais l'image de ces " pirates sans scrupule " provoque une paranoïa aiguë dans le monde de l'entreprise, qui voit dans cet espace ouvert qu'est l'Internet une route sombre remplis d'impasses coupe-gorge.
" C'est comme si face au bilan annuel des accidents de la route, personne ne prenait sa voiture de peur de se scracher ! ", analyse Serge Saghroune, directeur de la division sécurité et réseaux de BULL, également vice-président du CLUSIF, le club de la sécurité informatique français. " Cela ne fait que accentuer la parano, alors qu'il existe déjà un déficit de la culture en sécurité " au seins des PME.
Pourtant, la force de l'Internet reste précisément sa capacité d'autodéfense. Le CERT( Computer Emergency Reponse Team), installé prés de Pittsburg aux Etats Unis, a été fondé comme organe de veille pour réagir aux nouveaux systèmes d'attaque. Et la communauté à elle seule parvient à corriger la grande majorité des failles en quelques heure, voire quelques jours. Les " Hackers " , trop souvent classés comme des intrus mal intentionnés, ont aussi des visés plus louables lorsqu'il s'agit de mettre à jour des failles de sécurité.
Cette autodéfense est utile, même si l'explosion de nouveaux standards, de nouveaux outils, a également multiplié les failles, donc des opportunités de compromission des systèmes. Fini aussi les jeunes bidouilleurs qui s'amusent a pirater pour la galerie. " L'intrusion informatique est devenue une des armes majeurs du sabotage industriel, prévient Hervé Schauer, un des expert français les plus en vu sur la sécurité des systèmes ouverts, au sein de son cabinet créé en 1989, Hervé Schauer Consultants (HSC). Les attaques deviennent plus sérieuses, et les intrusions de plus en plus ciblées ".
L'explosion des solutions intranet est une tentation de plus pour ouvrir son réseau interne vers l'extérieur. Comme chaque offre intranet intègre des solutions de sécurité , les experts en protection espèrent que cela puisse aider les cadre dirigeants à mieux cerner la " sécurité ", non comme une crainte mais comme un enjeu à intégrer dans la politique stratégique . " Le firewall c'est clairement la solution " produit " aux problèmes de sécurité, reprend Hervé Schauer. Maintenant il faut relativiser, car la sécurité Internet est de manière générale la capacité à profiter des services Internet en toutes sécurités. Savoir profiter des services, c'est donc savoir configurer, le DNS, les news, etc. , et ce n'est pas donnée à tous le monde ".
Et une passerelle de sécurité mal installée n'est pas plus efficace qu'une boite vide. " On a beau avoir une belle boite à outils, il faut surtout un bon bricoleur !, ajoute Serge Saghroune. Répondre exclusivement " produit " à un problème de sécurité est un mauvais calcul. L'efficacité de l'outils ne se juge pas en terme de solidité, mais en terme de fiabilité ". Sans investir dans l'audit interne, la formation des administrateurs et la sensibilisation du personnel, c'est comme blinder une porte et laisser la porte ouverte...
Enfin, les solutions de riposte restent souvent tributaires de la réglementation. En France, l'utilisation du Ssh, un outil qui permet aux administrateurs de rester à l'abri du regard indiscret de l'intrus, est toujours (parce qu'il contient des moyens de cryptographie) non autorisé officiellement. La protections des communications comme gage de secret industriel en dépend aussi. C'est le cas du tunneling, qui consiste à utiliser l'Internet comme base d'un réseau privé (extranet) où les données sont chiffrées de bout en bout. La nouvelle réglementation en la matière n'était pas prête fin février. D'elle dépendra bon nombre de solution de sécurité, et avec elle évoluera la perception que les acteurs économiques auront de l'Internet.
