Un avant et un après Stuxnet

Dans le développement des différentes attaques, l'année 2010 a été marquée par l'avènement d'un ver, baptisé Stuxnet, qui s'attaque à des processus industriels tournant sur des systèmes de type Scada, développés par Siemens. Ce programme avait probablement comme cible, une centrale de retraitement d'uranium en Iran. A la différence d'autres attaques similaires, Stuxnet est très élaboré et plusieurs observateurs estiment qu'un Etat pourrait en être à l'origine. Utilisant des failles de Windows de type « zero day », les analystes estiment que ce ver devrait dans les prochains mois provoquer encore des dégâts, car plusieurs industries reposent sur des systèmes obsolescents et non sécurisés.

Le perfectionnement se retrouve aussi dans les tentatives de phishing avec l'apparition du Trojan Zeus. Ce dernier réunit beaucoup de qualité. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Les autorités policières et judiciaires ont mené quelques coups de filet en Angleterre, aux Etats-Unis et en Ukraine, mais cela n'a rien empêché.

Des failles et des patchs


Système d'exploitation, navigateur, solutions de bureautique, langage de développement, aucun service informatique n'échappe aux problèmes de sécurité. 2010 aura montré une recrudescence des publications de correctifs des failles de sécurité. On peut citer les patchs Tuesday de Microsoft qui voit leur volume prendre de l'embonpoint. Adobe a aussi au mois d'octobre dernier proposé 23 correctifs. Même Oracle a diligenté le téléchargement de 81 correctifs. Cette recherche de failles est par ailleurs devenue une activité lucrative, car la plupart des éditeurs ont mis en place des programmes rémunérant les chercheurs. Ainsi, Google a payé 7 500 dollars en prime pour la découverte de 11 bugs. En juillet dernier, la fondation Mozilla a augmenté ses primes pour la recherche des failles de sécurité dans ses produits.


Une consolidation des acteurs

Avec le développement du cloud computing, la consumérisation de l'IT, la profusion de terminaux connectés, les acteurs de l'informatique ont cherché à acquérir de plus en plus de compétences en matière de sécurité. De grands groupes ont ainsi acquis des sociétés spécialisées dans le domaine, comme HP avec Arcsight et Fortify. Les éditeurs de logiciels devant cette concurrence ont eux aussi participé à cette danse capitalistique, comme le montre les acquisitions de Symantec, PGP et GuardianEdge et surtout l'activité authentification de Verisign. Le rachat le plus symbolique de l'année 2010 reste néanmoins celle de McAfee par Intel pour la somme de 7,7 milliards de dollars. Cette opération suscite d'ailleurs quelques inquiétudes ou laissent perplexes les autorités de la concurrence européenne.