"Les machines sont vulnérables trop longtemps"

© INTERNE

Gerhard Eschelbeck est vice président technique de Qualys, société spécialisée en sécurité informatique, qui se concentre dans la détection et la correction automatique des vulnérabilités.

tf1.fr :En quoi la vulnérabilité des ordinateurs et des réseaux a-t-elle changé ces derniers mois, ces dernières années ?

Gerhard Eschelbeck :Elles sont nombreuses : on en découvre environ 25 nouvelles chaque semaine. Elles sont surtout exploitées bien plus rapidement : on l'a vu avec Blaster, qui est apparu trois semaines seulement après l'alerte de Microsoft sur la faille de sécurité qu'il a exploitée. Surtout, on est aujourd'hui loin de la première génération de menaces, qui avaient besoin d'une action de l'utilisateur pour se lancer. Désormais, les menaces sont automatisées et trouvent toutes seules leur chemin à travers les réseaux. La troisième génération arrive, qui se développera encore plus rapidement et massivement, et dont les attaques seront ciblées. La particularité de ces nouvelles générations de menaces sont qu'elles exploitent les vulnérabilités. C'est donc sur cet aspect qu'il faut se concentrer pour lutter efficacement.

tf1.fr : La lutte est-elle assez efficace actuellement ?

Non, il y a de nombreuses déficiences. En moyenne, il faut trente jours après l'apparition d'une vulnérabilité pour corriger la moitié des machines concernées. Ensuite, le rythme de correction s'affaiblit. Cela laisse tout le temps aux vers d'être créés puis propagés… Pire, le nombre de machines vulnérables augmente parfois de nouveau après quelques mois : lorsque la faille exploitée par Slammer au début 2003 a été découverte, les corrections ont été très rapides. Mais aujourd'hui, les machines vulnérables sont de plus en plus nombreuses, parce que les systèmes sont réinstallés sans le patch, car on considère que c'est de la vieille histoire…

tf1.fr : Quelle attitude adopter face à cette multiplication des menaces ?

Il faut répondre à l'automatisation par l'automatisation : chercher en permanence où une machine ou un réseau est vulnérable et y appliquer le plus rapidement possible une correction, si elle existe. Une nouvelle faille de Microsoft nous inquiète par exemple particulièrement, car elle a été découverte il y a déjà plusieurs jours sans qu'un patch soit mis à disposition.

tf1.fr :La sécurité des systèmes est-elle appelée à s'améliorer ?

Oui, mais sur le long terme. Les fabricants de logiciels ont enfin pris conscience que la sécurité est désormais un critère de qualité, et le prennent en compte dans leurs nouveaux produits. Seulement, il nous faut aujourd'hui gérer des systèmes conçus il y a plusieurs années, il faudra du temps avant que la prise de conscience actuelle ne fasse vraiment effet…

tf1.fr :Vous vous êtes exprimés devant des politiques. Cette sphère prend elle conscience des dangers liés à la sécurité informatique ?

Peu à peu, oui. Mais le cybercrime commence seulement à être considéré comme un crime à part entière. Le récent vol du code source du jeu HalfLife 2 (voir notre article) est en exemple du retentissement que peuvent avoir aujourd'hui de telles affaires. Il est d'autant plus important d'aller dans ce sens, car les attaques vont être de plus en plus violentes, mais surtout de plus en plus ciblées. Vers un groupe particulier, un certain type d'infrastructure, une société en particulier…