Qu'on les nomme failles, malwares, trojans, l'année 2012 a été riche en exploits en tout genre et touche des acteurs qui auparavant été épargnés. Ainsi, Apple a vu plusieurs malwares (Crisis, Flashback) cibler les Mac. Au point, que selon Trend Micro, la firme de Cupertino s'est retrouvée en tête des failles de sécurité sur les OS et les logiciels devant Oracle et Google au premier trimestre 2012. Apple a même participé pour la première fois à la Black Hat de Las Vegas, pour chercher des réponses à la recrudescence du piratage.
Android et iOS vulnérables
La mobilité, domaine pourtant très sécurisé de la firme de Tim Cook, n'est pas non plus épargnée avec un hacker russe qui a réussi à rendre gratuit le service d'achat in-app sur iOS et étendre sa méthode au Mac App Store. Android demeure cependant l'OS mobile privilégié des hackers. Un audit réalisé par des chercheurs montrant plusieurs failles SSL sur des applications populaires disponibles sur Google Play. Toujours dans la téléphonie mobile, une faille USSD a touché plusieurs smartphones Samsung pouvant aller jusqu'à la destruction de la carte SIM. Toutes ces vulnérabilités inquiètent le directeur général de l'ANSSI, Patrick Pailloux, qui a exhorté les RSSI a dire non au phénomène du Byod (Bring Your Own Device). Il a aussi publié 40 règles de sécurité indispensables dans les entreprises pour avoir une bonne hygiène informatique.
Failles critiques et imagination sans limite
Apple n'est cependant pas à clouer au pilori, surtout que les vulnérabilités sont issues d'éditeurs tiers comme Oracle avec Java. Une faille de type zero day a été trouvée dans Java 7. Elle a touché les PC, mais aussi les Mac et a été exploitée par la boîte à outils BlackHole. Les yeux se sont tournés vers Oracle, surtout que la société était au courant depuis un petit moment. Microsoft n'est pas en reste avec la découverte de failles de type zero day dans Internet Explorer. Les premiers malwares sur Windows 8 ont fait leur apparition, dont un utilisant Google Docs. La firme de Redmond a même bloqué en Chine un botnet directement installé sur une chaîne de montage de PC.
L'imagination des attaquants est sans limite. Lors des évènements sur la sécurité (Black Hat, Defcon), des chercheurs ont réussi à pirater des serrures de chambre d'hôtel et à dialoguer avec des compteurs intelligents. D'autres scientifiques ont démontré le piratage des pacemakers, mais aussi du cerveau humain.
Les hacktivistes restent sur le pied de guerre
Le début de l'année 2012 a vu les Anonymous se mobiliser contre la fermeture du site Megaupload par le FBI. Les sites du gouvernement français ont été touchés et le groupe de pirates a utilisé des méthodes pour recruter des internautes sans leur consentement. Le Parlement européen a été aussi la cible des hacktivistes en représailles à la signature par l'UE du traité ACTA. Cette lutte contre la censure s'est exprimée par des actions contre les opérateurs ayant bloqués le site Pirate Bay. Enfin, plus récemment, ils avaient prémédité une attaque contre le site de l'UIT pour dénoncer la réunion de Dubaï sur l'avenir des télécommunications et d'Internet.
[[page]]
Des expéditions numériques punitives ont également touché des Etats, comme Israël, avec la publication des détails sur les systèmes Scada de l'état hébreu. Les nations se mobilisent et Interpol a annoncé l'arrestation de 25 membres présumés du groupe Anonymous en Europe et en Amérique du Sud.
Les données personnelles : La grande fuite en avant
Sans recenser de manière comptable les fuites ou les vols de données de l'année 2012, certains chiffres sont éloquents : un réseau social de militants associatifs Care 2 a été piraté et a été obligé de réinitialiser 18 millions mots de passe, une filiale d'Amazon a demandé à 24 millions de ses membres de changer leur identifiant et mot de passe. Tous les acteurs sont touchés : Facebook a vu un ver voler 45 000 identifiants en France et en Grande Bretagne, Adobe a mené une enquête après la publication d'une liste de noms et d'identifiants d'une de ses bases de données, la NASA a confirmé le vol d'un PC portable qui a compromis les données d'au moins 10 000 personnes.
La vigilance est de mise pour les Internautes avec les tentatives de plusieurs sociétés de modifier leur politique de confidentialité. Ainsi, Google a révisé et simplifié cette politique lui permettant de combiner des données issues de différents services pour mieux cibler l'internaute. Plusieurs autorités en charge de la protection des données personnelles ont demandé à Google de revoir sa copie, en vain. Facebook a été contraint lui de promettre que certaines données seraient définitivement effacées de ses serveurs. Dans la mobilité, certaines applications se sont faites indiscrètes et siphonnaient la liste de contacts des utilisateurs d'iPhone sans leur autorisation. Un petite lueur d'espoir vient du projet de révision de la directive sur la protection des données de la Commission européenne où Viviane Redding veut la mise en place d'un « oubli » numérique et promet des amendes en cas d'infraction.
Cyberattaques : une course au cyber-armement
Si le malware Stuxnet avait mis en lumière la mise au point de ripostes numériques des Etats, l'année 2012 a montré que cette course au cyber-armement se poursuit et s'amplifie. Une enquête du New York Times a montré que les gouvernements américains et israéliens sont les co-développeurs de Stuxnet. Un autre virus a fait parler de lui, Flame. Après analyses, ce dernier a la particularité de s'autodétruire pour éviter d'être analysé et sa capacité à détourner Windows Update nécessite de fortes compétences en chiffrement. Un article du Washington Post accuse les Etats-Unis et Israël d'être derrière Flame. La cible est toujours la même l'Iran et notamment le programme d'enrichissement nucléaire. La répétition de ces cyber-sabotages a accéléré le projet de l'Iran de créer un intranet national qui pourrait déconnecter d'Internet certains systèmes gouvernementaux.
Si les ennemis sont à surveiller, il faut aussi, semble-t-il se protéger de ses amis. La France a été victime de deux attaques majeures durant la vacance du pouvoir après l'élection présidentielle. Motus et bouche cousue sur les origines de ces attaques. Un article de l'Express a émis une hypothèse sur le responsable : les Etats-Unis et a détaillé le modus operandi. Il faut donc que la France renforce sa politique en matière de cyberdéfense, comme le prône le rapport du sénateur Jean-Marie Bockel. Il a notamment demandé l'interdiction de la vente des routeurs de coeur de réseau d'origine chinoise. Plusieurs autres pays comme l'Australie ont déjà franchi le pas, même si les constructeurs asiatiques ont proposé de donner un accès au code source de leurs équipements.
Bilan Sécurité 2012 : Failles, données personnelles et cyberattaques au menu
A bien regarder dans le rétroviseur de l'actualité sur la sécurité, on pourrait croire que les années se suivent et se ressemblent. Mais c'est sans compter sans l'ingéniosité des pirates de tout bord où mobilité, réseaux sociaux et systèmes industriels, données personnelles, sont leurs nouveaux terrains de chasses. Petit tour d'horizon des évènements marquants.