 |
|
|
| |
|
|
| Sommaire Sécurité |
|
| 86% des attaques visent les ordinateurs domestiques |
| Selon les conclusions de deux études de sécurité, les particuliers sont la cible de prédilection des pirates. La tendance est désormais nettement à des attaques ciblées exploitant les applications Web.
(27/09/2006) |
|
Les rapports de Symantec et de l'APACS (Association of Payment and Clearing Services), représentant les principales banques anglaises, désignent très nettement le particulier comme la cible principale des attaques. Avec essentiellement pour motivation la réalisation d'un gain, les pirates concentrent leurs efforts sur ces internautes moins vigilants, peu sensibilisés et protégés
Pour l'association anglaise, les consommateurs de services en ligne tardent toujours à appliquer les règles élémentaires de protection : 3,8% des personnes interrogées continueraient à répondre à des spams les invitant à vérifier leurs données bancaires, et plus de 30% à écrire leur mot de passe ou à le stocker sur l'ordinateur.
Ils seraient également moins de 50% à régulièrement mettre à jour leur antivirus. L'utilisation de logiciels de sécurité est d'ailleurs encore loin d'être répandue. Ainsi, les deux tiers ne disposent pas de firewall et 10% seulement des utilisateurs auraient recours à un anti-spam.
De janvier 2006 au 30 juin dernier, les ordinateurs domestiques ont fait l'objet de 86% des attaques selon la dernière édition de l'Internet Security Threat Report de Symantec. Les services financiers arrivent en seconde position, avec 14% contre 4% dans l'édition précédente.
L'explosion des attaques par phishing en est la principale raison.
Face à un renforcement des mesures de sécurité des entreprises, les attaquants ont adopté de nouvelles méthodes. Le social engineering, combiné à des codes malveillants, permet ainsi de tirer profit du maillon faible de la chaîne de sécurité, à savoir l'humain. Et pour atteindre l'utilisateur final, les attaques s'appuient sur les applications Web, telles que par exemple les navigateurs et les clients de messagerie.
|
Répartition des attaques par secteur cible
|
|
Rang actuel
|
Rang précédent
|
Secteur cible
|
Pourcentage actuelle d'attaques
|
Pourcentage précédent d'attaques
|
|
1
|
1
|
Particulier
|
86 %
|
93 %
|
|
2
|
2
|
Services financiers
|
14 %
|
4 %
|
|
3
|
6
|
Administration
|
<1 %
|
<1 %
|
|
4
|
3
|
Education
|
<1 %
|
2 %
|
|
5
|
8
|
Technologies de l'information
|
<1 %
|
<1 %
|
|
6
|
7
|
Santé
|
<1 %
|
<1 %
|
|
7
|
5
|
Comptabilité
|
<1 %
|
<1 %
|
|
8
|
10
|
Télécommunications
|
<1 %
|
<1 %
|
|
9
|
4
|
PME
|
<1 %
|
<1 %
|
|
10
|
14
|
Energie
|
<1 %
|
<1 %
|
|
Source : Symantec
|
Sur les 2 249 vulnérabilités listées par Symantec durant la période, 69% affectent des applications Web. 79% des failles jugées facilement exploitables les concernent également. Internet Explorer représente à lui seul 47% des attaques visant les navigateurs.
Symantec note toutefois que c'est Firefox qui a comporté le plus de failles. Néanmoins, le browser Open Source bénéficie en moyenne d'un correctif sous 1 jour, contre 9 pour celui de Microsoft.
Les vulnérabilités des applications Web sont plus facilement identifiables que pour les autres types de logiciels rappelle Symantec. Les attaques comme le cross-site scripting et l'injection SQL ont donc tendance à se multiplier. La firme recommande en conséquent de réaliser des audits de vulnérabilités et de former les développeurs à des pratiques de développement tenant compte de la sécurité.
Symantec met d'ailleurs en garde contre les risques que pourraient présenter à l'avenir les services Web 2.0 si leur développement ne s'avérait pas suffisamment rigoureux. Ajax déporte en effet sur l'utilisateur nombre de requêtes, permettant ainsi à un pirate d'examiner plus en détails le code de l'application et de développer des attaques adaptées.
Enfin, en ce qui concerne les attaques en déni de service, DoS, en général liés aux bots, Symantec en a comptabilisé en moyenne 6 110 par jour. Les Etats-Unis reste le pays le plus visé. Sur le plan sectoriel, les fournisseurs d'accès à Internet écopent de 38% des attaques, suivis par l'administration à 32%.
|
| |
| |
|
|
|
|
|
|
Dossier 