En juin dernier, la mauvaise nouvelle avait fait le tour du web : Yahoo ! Messenger est une passoire. Sa vulnérabilité était dans deux composants ActiveX relatifs à la webcam et installés avec le logiciel. Exécutés via Internet Explorer, n’importe quel cyberpirate qui connaît les rudiments du « métier » pouvaient prendre le contrôle de votre ordinateur et en faire un PC zombie.
En juillet, l’actualité du NET a catapulté une autre nouvelle, tout aussi mauvaise : des chercheurs américains affirmaient avoir découvert une vulnérabilité majeure dans l’Iphone et prétendaient prendre le contrôle de l’appareil à la simple visite d’un site web piégé. « Le téléphone, lit-on dans Zata.com, tomberait alors entièrement sous leur contrôle, jusqu’à permettre d’écouter les conversations à l’insu de son propriétaire, de récupérer ses SMS ou de passer des appels surtaxés ».
L’affaire, qui sera débattue en ce 2 août au cours de la conférence annuelle des hackers BlackHat à Las Vegas, rappelle les déboires du blackberry, une couscoussière, affirme-t-on dans les milieux intéressés. Elle illustre surtout un phénomène que Mikko Hypponnen, un des gourous antiviraux (il travaille chez F-Secure), résume en ces termes : « le vol des données personnelles fait partie des meubles », dit-il laconiquement avant de préciser que « là où l’on s’attendrait à ce que le pillage se limite aux données généralement perçues comme confidentielles (les numéros de carte bancaires par exemple), les criminels semblent avoir étendu le spectre de leurs activités à des informations moins évidentes telles que le vol industriel par exemple des identifiants de jeux en ligne ».
Faut-il conclure que la guerre est perdue ? Non, car les pirates du Net, comme les moustiques et les cafards pour les insecticides, ont quand même la vertu paradoxale de booster le marché de la sécurité et d’en faire dans les prochaines années la cible des plus fortes dépenses des budgets informatiques. Les cyberpirates encouragent non seulement les innovations et les logiciels de sécurisation dits « tout en un » – à l’image du Norton 360 du leader mondial Symantec – mais entraîneront des fusions et des rachats des fabricants d’antivirus spécialisés par les géants du Web.
Quelques semaines après le rachat de DoubleClick pour 3,1 milliards de dollars, Google s’est récemment offert Greenborder Technologies, éditeur d’un logiciel de sécurité informatique capable de lutter contre les virus, vers, chevaux de Troie et autres spyware. Pour sa part, le groupe américain Hewlett-Packard a annoncé, il y a moins de quinze jours, avoir signé un contrat lui permettant d’acquérir SPI Dynamics, fournisseur de solutions de sécurité pour applications et services web. Ce rachat, dont le montant n’a pas été communiqué, doit permettre à HP de renforcer son offre d’outils de gestion de la qualité des applications IT (HP Quality Center intègre d’ores et déjà la technologie SPI).
Les opérations de ce type sont légion et mettent en rang une seule idée : plus il y a des pirates sur les océans de la Toile, plus les logiciels anti-flibustes se cuirassent à coups d’innovation et financements colossaux pour les traquer. Qu’importe si les premiers s’intéressent à la carte bancaire de Monsieur tout le monde, qu’ils cherchent à pénétrer le chiffre des services secrets ou qu’ils soient des prédateurs sexuels, les seconds parviennent (presque) souvent à les dénicher et à les neutraliser.
Un exemple pêché au hasard pour terminer cette chronique : le site Myspace.com, un des plus fréquentés au monde, a mis en place le logiciel Sentinel Safety, spécialisé dans l’identification des délinquants sexuels, sur la base de fichiers de la justice américaine. Ce dernier aurait identifié 29 000 délinquants sexuels avérés et effacé leurs espaces dès leur découverte.