La réalité artificielle : nouvelle menace sur la sécurité en 2006

Cloud

Selon Trend Micro, les utilisateurs ne pourront bientôt plus avoir confiance en ce qu’ils voient sur leur écran d’ordinateur.

« En 2006, nous assisterons à l’apparition de la réalité artificielle. » Pour Dave Rand, directeur technologique de la sécurité du contenu Internet de Trend Micro et ancien dirigeant de Kelkea (racheté par Trend Micro en juin dernier), cette « réalité artificielle » passera par de nouvelles techniques de vol d’informations en ligne qui tendront à se généraliser en 2006. Mais de quoi s’agit-il ?

Selon le responsable, la réalité artificielle consistera à faire passer pour réelles des informations qui ne le sont pas via l’écran de l’ordinateur d’un utilisateur. Une version évoluée du phishing, en quelque sorte. Dave Rand donne l’exemple d’un utilisateur qui, pensant consulter son compte bancaire en ligne, visualisera en fait des pages falsifiées. Lesquelles lui présenteront un compte créditeur alors que, dans la réalité, son compte aura été vidé depuis longtemps. On imagine le dialogue de sourds qui s’ensuivra avec le conseiller financier appelant son client pour l’inviter à renflouer ses finances…

Autre exemple : faire croire à l’utilisateur qu’il est bien à jour dans ses correctifs de sécurité (système d’exploitation, navigateur, etc.) alors que son système sera, dans la réalité, complètement troué. Une aubaine pour les pirates qui pourront exploiter les vulnérabilités de la machine pour installer logiciels espions et autres applications de contrôle à distance. Avec le consentement indirect de la victime qui aura, de fait, toute confiance dans son système.

Généralisation des rootkits

Cette réalité artificielle passera notamment par l’exploitation des rootkits, ces applications (ou ensemble d’outils) qui simplifient l’accès en profondeur au système et permettent du coup d’automatiser la mise en place d’une porte dérobée (backdoor) ou d’un cheval de Troie. Des programmes également capables de modifier le noyau du système d’exploitation afin de cacher fichiers et processus. Du fait même de leur nature, les rootkit sont difficilement détectables et également difficilement désinstallables.

Ainsi, l’installation d’un rootkit permettrait de modifier en profondeur nombre de processus de la machine, à commencer par les requêtes Web. Certes, l’installation d’un rootkit nécessite des droits d’administrateur, qui peuvent être obtenus par l’intermédiaire d’une faille système. Autrement dit, un système à jour de ses correctifs est théoriquement à l’abri de ces menaces. Sauf si ce sont les utilisateurs eux-mêmes qui, sans toujours le savoir, installent les outils de contrôle à distance. L’affaire de Sony BMG, qui s’utilisait un rootkit pour mettre en oeuvre des outils anticopie sur ses CD audio, est éloquente (voir édition du 3 novembre 2005).

Un autre danger, parfaitement complémentaire de l’exploitation des rootkits, menace directement les réseaux : le détournement des requêtes Web par l’intermédiaire de Broader Gateway Protocol (BGP). Protocole de routage qui forme notamment le coeur d’Internet, BGP se charge des échanges d’informations sur la disponibilité des réseaux selon le principe que chaque routeur du réseau ne connaît directement que ses voisins proches et non l’ensemble du réseau. « Comme l’architecture du réseau n’est pas centralisée, il n’y a aucun moyen de confirmer le bon routage d’une adresse », explique Dave Rand, « et comme l’information de routage ne peut être garantie, le système est sujet à des attaques. N’importe qui peut compromettre un routeur et détourner les requêtes. »

Se préparer pour les 10 ans à venir

En conséquence, une adresse Web pourtant correctement saisie dans le navigateur pourrait amener à un site frauduleux sans que l’utilisateur n’en ait conscience, surtout si les pages falsifiées sont similaires aux vraies. « Ne vous est-il jamais arrivé d’obtenir une page d’indisponibilité du service après avoir entré votre login et mot de passe ? », interroge l’expert en sécurité. « On peut penser que, lorsque cela arrive, on a affaire à un site pirate. »

Dans ces conditions, comment se protéger ? « Aujourd’hui, il n’existe pas de solution fiables à 100 % pour garantir qu’on se connecte bien au bon endroit », reconnaît Dave Rand. « Mais nous travaillons sur des solutions de surveillance du comportement des machines et d’analyse des requêtes réseaux. » Mais au-delà des solutions des sociétés spécialisées, la sécurité concerne autant le particulier, responsable de sa machine, que les entreprises qui évaluent le coût des protections face aux risques de fuites d’informations. « Avec l’augmentation du nombre d’attaques, les entreprises doivent revoir leur politique de sécurité pour les 10 ans à venir », soutient Dave Rand.