horizontal rule
sommaire


Les attaques sur l'internet en 2003
Extraits d'une déposition devant le Congrès

Richard Pethia
Directeur, Centre de coordination du CERT

A l'heure actuelle, l'internet est vulnérable aux attaques et des mesures s'imposent pour renforcer sa sécurité.

Porteurs de noms sinistres tels que Blaster, Slammer et Sobig.F, les codes malveillants ont semé le désordre dans l'internet en 2003 plus que jamais auparavant. La diffusion subreptice de tels codes suscite de plus en plus d'inquiétudes en ce qui concerne la vulnérabilité de l'internet qui, parallèlement, revêt une importance croissante dans les communications et l'économie mondiales. Le document ci-dessous est une version abrégée de la déposition présentée le 10 septembre par le directeur du Centre de coordination du CERT, Richard Pethia, devant le Congrès des États-Unis sur les virus et vers informatiques qui se sont propagés sur l'internet en 2003 et sur les mesures nécessaires pour faire face à ce grave problème.

La version intégrale de la déposition de M. Pethia est disponible (en anglais) à http://www.cert.org/congressional_testimony/Pethia-Testimony-9-10-2003/

Introduction

Le Centre de coordination du CERT (CC/CERT) a été créé en 1988 immédiatement après l'introduction sur l'internet du premier ver informatique. Ce ver a été le premier incident en matière de sécurité informatique à faire les grands titres de l'actualité et a sonné l'alarme, appelant à l'instauration de mesures de sécurité des réseaux. Face à cette menace, la Defense Advanced Research Projects Agency de l'Institut d'ingénierie logicielle de l'université Carnegie Mellon, à Pittsburgh, a donc établi le CC/CERT. Notre mission est de contribuer à résoudre les problèmes résultant des incidents de sécurité et des vulnérabilités informatiques, d'aider les autres à se doter de capacités de riposte, de sensibiliser aux questions de sécurité informatique et d'aider les gens à comprendre les mesures qu'ils doivent prendre afin de renforcer la protection de leurs systèmes. Le centre a été activé en l'espace de quinze jours seulement et il s'emploie à maintenir sa capacité de réaction rapide. Le personnel du CC/CERT a traité plus de 260.000 incidents, catalogué et élaboré des solutions pour parer à plus de 11.000 vulnérabilités informatiques et publié des centaines de bulletins d'alerte.

Aujourd'hui, avec le parrainage soutenu du ministère de la défense et du ministère de la sécurité intérieure, nous poursuivons nos travaux et diffusons par le truchement de multiples canaux de nombreuses informations et avertissements touchant à la sécurité, notamment par le biais d'un site internet (www.cert.org), d'une base de données des vulnérabilités disponible en ligne et d'une liste de diffusion électronique comportant plus de 161.000 adresses. Nous entretenons des relations avec les grandes entreprises médiatiques qui nous aident à diffuser à l'intention du public des informations exactes sur les principaux événements relatifs à la sécurité. Nous travaillons également avec plus de 600 fournisseurs d'outils technologiques pour les aider à éliminer les vulnérabilités des produits et à avertir la communauté des usagers de celles qui exigent leur attention immédiate.

Le CC/CERT est maintenant reconnu par les instances gouvernementales ainsi que par l'industrie comme une source neutre de données et de connaissances qui fait autorité en matière de sûreté de l'information. Outre l'analyse des rapports concernant les atteintes à la sécurité informatique et les vulnérabilités de la technologique informatique en relation avec les réseaux, nous identifions et diffusons les pratiques à adopter en matière de sécurité préventive, menons des recherches et dispensons une formation aux administrateurs de systèmes, gestionnaires et membres des équipes d'intervention en cas d'incident.

Dangers croissants présentés par les vers et virus informatiques

Les vers et virus informatiques appartiennent à la catégorie générale de programmes dits « codes malveillants ». Tous deux exploitent les faiblesses des logiciels, en se reproduisant et/ou en s'attachant à divers programmes. Ils se propagent rapidement et facilement de système en système. Par définition, les vers sont des programmes qui, une fois lancés, se propagent sans intervention humaine. Les virus sont des programmes qui exigent, pour se propager, une action de la part d'un utilisateur, par exemple ouvrir un attachement à un message électronique (...)

Les vers et virus actuels causent plus de dégâts que leurs prédécesseurs et ils infectent les plus vulnérables de tous les systèmes, à savoir les ordinateurs personnels utilisés par les particuliers chez eux. Le ver Code Red s'est répandu dans le monde entier plus rapidement en 2001que le ver dit Morris dans les ordinateurs des États-Unis en 1988 et que le virus Melissa en 1999. Dans le cas du ver Code Red, il s'est écoulé plusieurs jours entre le moment où il a été identifié et celui où il a causé des dégâts importants. Quelques mois après, le ver Nimda a causé de sérieux dégâts en l'espace d'une heure après le premier rapport d'infection. En janvier de cette année, il n'a fallu à Slammer que quelques minutes pour avoir un impact significatif.

Les chiffres (...) illustrent la rapidité avec laquelle Slammer a infecté un grand nombre d'ordinateurs ; ils indiquent également que Blaster a été un peu plus lent que Slammer, mais beaucoup plus rapide que Code Red. Au bout de 24 heures, Blaster avait infecté 336.000 ordinateurs, Code Red 265.000 et Slammer 55.000. La comparaison des effets de Blaster et de Code Red montre que pour l'un comme pour l'autre, 100.000 ordinateurs ont été infectés en l'espace de 3 à 5 heures. Cette exploitation rapide limite le temps dont disposent les experts, tels que ceux du CC/CERT, pour analyser le problème et avertir la communauté des internautes. De même, elle laisse peu de temps aux administrateurs de systèmes et aux usagers pour se protéger (....)

Après la flambée initiale des infections par le ver Blaster et l'application subséquente de mesures de protection, le nombre d'ordinateurs infectés à tout moment s'est stabilisé à 30.000 (...) Ce ver est toujours actif et continue d'affecter les systèmes informatiques du monde entier.

Impact des vers et virus informatiques

Au mieux, les vers et virus informatiques sont gênants et il est coûteux de s'en débarrasser. Au pire, ils peuvent être dévastateurs. Les attaques des vers et virus informatiques, à l'exclusion de toutes autres, ont infligé des millions de dollars de pertes rien qu'au cours des 12 derniers mois.

Dans l'enquête sur la criminalité et la sécurité informatiques faite par l'Institut de sécurité informatique (CSI) et le Federal Bureau of Investigation (FBI) pour l'année 2003 (www.gocsi.com), les virus sont cités comme la forme d'attaque la plus fréquente (82 % des personnes interrogées se sont dites affectées), et leur coût total a été estimé à 27.382.340 dollars. Le coût le plus bas déclaré par les victimes des attaques est de 40.000 dollars et le coût le plus haut de 6 millions de dollars. L'enquête australienne sur la criminalité et la sécurité informatiques fait état de résultats semblables. Le pourcentage des personnes interrogées affectées par les virus ou les vers s'élève à 80 %. Parmi les victimes, 57 % ont subi des pertes financières d'un montant total de 2.223.900 dollars. Pour un tiers d'entre elles (33 %), la reprise a eu lieu en moins d'un jour et pour 30 % dans un temps allant de un à sept jours ; pour les 37 % restants, la reprise a été plus longue et deux organismes estiment même qu'ils ne se remettront jamais de l'attaque.

À ce jour, les dégâts causés par le ver Blaster sont estimés à au moins 525 millions de dollars et ceux de Sobig.F entre 500 millions et 1 milliard de dollars (selon les articles parus dans Business Week et mi2g de Londres (www.mi2g.com), entre autres.) Les estimations des coûts comprennent la perte de rendement, les heures et les ventes perdues et les coûts supplémentaires liés aux bandes de fréquence. The Economist (23 août 2003) estime que Sobig.F a été responsable de l'envoi d'un message électronique sur seize envoyés par l'internet ; en ce qui nous concerne, il a fait l'objet de 87 % de tous les messages que nous avons reçus à notre adresse cert@cert.org depuis le 18 août. Nous avons reçu plus de 10.000 messages infectés par jour, soit un toutes les 8,6 secondes.

Implications pour l'avenir

Notre expérience récente concernant Blaster et Sobig.F revêt une signification particulière qui dépasse leur activité spécifique. Cette activité des vers reflète l'existence d'un problème général de sécurité de l'internet et nous donne un aperçu de ce à quoi nous pouvons nous attendre à l'avenir.

Mon message le plus important est que non seulement l'internet est actuellement vulnérable aux attaques mais qu'il le restera aussi dans l'avenir prévisible. Cette vulnérabilité concerne les ordinateurs utilisés par les organisations gouvernementales à tous les niveaux, ainsi que ceux des laboratoires de recherche, des établissements d'enseignement, des entreprises et des particuliers chez eux. Ces ordinateurs sont vulnérables du fait de problèmes déjà découverts, parfois connus depuis des années, et de problèmes qui seront découverts dans l'avenir.

Les implications pour les instances gouvernementales aux niveaux fédéral, national et local, ainsi que pour les opérateurs des infrastructures critiques, sont que leurs systèmes informatiques sont vulnérables aux attaques et qu'ils peuvent aussi être utilisés pour lancer des attaques contre d'autres systèmes. En raison du nombre croissant d'organisations du secteur public et du secteur privé qui dépendent de plus en plus de l'internet, c'est tout simplement notre aptitude à fonctionner qui est mise en cause par ces attaques.

Les solutions réactives sont limitées

Depuis une quinzaine d'années, nous nous fions dans une grande mesure à l'aptitude de la communauté de l'internet à réagir suffisamment vite aux atteintes à la sécurité pour faire en sorte que les dégâts soient minimisés et que les attaques soient promptement mises en échec. Aujourd'hui, toutefois, il est clair que les solutions purement réactives ne suffisent plus. Cet état de choses s'explique par les facteurs brièvement résumés ci-dessous :

  • L'internet relie aujourd'hui 171 millions d'ordinateurs et continue de se développer à une cadence accélérée. À tout moment, il y a des millions d'ordinateurs branchés qui sont vulnérables à une forme d'attaque ou à une autre.

  • La technologie des attaques a progressé pour atteindre le point où il est facile pour les attaquants de tirer parti des ordinateurs vulnérables et de les relier entre eux pour lancer des attaques d'une grande ampleur.

  • Beaucoup d'attaques sont aujourd'hui automatisées et se propagent à une vitesse fulgurante sur l'ensemble de l'internet, au-delà des frontières géographiques ou nationales.

  • La technologie des attaques est d'une complexité croissante et, dans certains cas, intentionnellement furtive, ce qui prolonge le temps nécessaire à la détection et à l'analyse du mécanisme d'attaque visant à la production d'antidotes.

  • Les usagers de l'internet sont de plus en plus dépendants de celui-ci et s'en servent maintenant pour de nombreuses applications critiques ainsi que pour effectuer des opérations commerciales en ligne. Les interruptions de service même relativement brèves peuvent infliger des pertes économiques significatives et porter atteinte à des services d'une importance critique.

Conjugués, ces facteurs indiquent que nous pouvons nous attendre à de nombreuses attaques qui causeront des pertes économiques et des perturbations de service considérables, même dans les limites des meilleurs temps de réaction que nous pouvons espérer en tout réalisme. Il nous faudra donc continuer de mettre en œuvre des ripostes agressives, coordonnées et les améliorer constamment, mais il est impératif par ailleurs que nous cherchions rapidement à mettre d'autres solutions en place.

Actions recommandées - Que peuvent faire les opérateurs de systèmes ?

Faire face à la menace des vers et virus informatiques n'est pas chose facile. Avec quelque 4.000 vulnérabilités découvertes par an, les administrateurs de systèmes et de réseaux se trouvent dans une situation difficile (...)

Face à cette situation, les opérateurs de systèmes et leurs organisations peuvent prendre un certain nombre de mesures qui contribueront à protéger leurs systèmes :

Adoption de mesures de sécurité. Il est d'une importance cruciale que les organisations, grandes et petites, adoptent des mesures efficaces en matière de sécurité : évaluation des risques de sécurité de l'information, politiques de gestion et pratiques de sécurité. Malgré les discussions et débats fréquents sur la question de savoir quelles sont, d'une façon ou d'une autre, les meilleures pratiques, il est clair que des informations sur les pratiques efficaces et des modèles de politiques sont largement disponibles auprès de sources gouvernementales et privées, y compris le CC/CERT (...)

Entretien des aptitudes et des connaissances. Les opérateurs de systèmes devraient suivre des cours de formation pour améliorer leurs aptitudes et leurs connaissances (...) Ils doivent suivre les tendances en matière d'attaques et savoir quels sont les outils qui peuvent les aider à protéger leurs systèmes. La situation de la sécurité est constamment changeante et, chaque jour, de nouvelles formes d'attaques et de nouvelles vulnérabilités apparaissent.

Education des usagers des systèmes. Les opérateurs de systèmes doivent proposer des programmes de sensibilisation pour mieux faire appréhender aux usagers l'importance des questions de sécurité, renforcer leurs capacités à reconnaître les problèmes, leur donner des instructions sur la conduite à tenir en cas de problèmes et leur faire mieux comprendre ce qu'ils peuvent faire pour protéger leurs systèmes.

Actions recommandées - Que peuvent faire les fournisseurs de technologie ?

Les mesures que prendront les opérateurs de systèmes seront utiles, mais elles ne résoudront que partiellement le problème. Les fournisseurs de technologies sont mieux en mesure de prévenir la propagation des vers et des virus. Bien que certaines entreprises aient commencé à apporter certaines améliorations à la sécurité de leurs produits, il reste beaucoup à faire à cet égard. Les concepteurs de logiciel ne s'attachent pas suffisamment à appliquer les enseignements tirés des enquêtes sur les causes des vulnérabilités. Dans les nouvelles versions de produits informatiques, le CC/CERT constate l'existence des mêmes types de vulnérabilités que dans les versions précédentes.

Des vulnérabilités supplémentaires sont dues à la difficulté qu'il y a de configurer les systèmes d'exploitation et les applications en garantissant leur sécurité. Ces produits sont complexes et ils sont souvent livrés aux clients avec leurs fonctions de sécurité désactivées, ce qui oblige les utilisateurs de la technologie à entreprendre eux-mêmes le processus d'activation des fonctions de sécurité dont ils ont besoin, processus ardu et donnant facilement lieu à des erreurs (...)

Il est d'une importance cruciale que les fournisseurs de technologie élaborent des produits qui soient, d'entrée de jeu, résistants aux vers et aux virus informatiques. Dans l'environnement actuel de l'internet, il est inacceptable que l'approche de la sécurité consiste strictement pour le fournisseur à conseiller à l'utilisateur d'être prudent (...)

Actions recommandées - Que peut faire le gouvernement ?

Le gouvernement peut apporter une aide utile en appliquant une approche concertée sur plusieurs fronts. Parmi les actions qui mériteraient selon moi d'être envisagées figurent notamment les actions suivantes :

  • Encourager la production de produits de meilleure qualité offrant une plus grande sécurité. Pour inciter les fournisseurs à développer les produits de qualité supérieure nécessaires, nous encourageons les instances gouvernementales à faire usage de leur pouvoir d'achat pour exiger des logiciels de meilleure qualité. Le gouvernement devrait envisager de renforcer ses processus de passation de marchés pour y inclure des clauses « d'intégrité des codes », clauses qui engagent plus strictement la responsabilité des fournisseurs, notamment en cas de défauts en matière de sécurité, et privilégier les fournisseurs qui proposent des produits aussi parfaits que possible et des produits qui résistent aux virus (...)

  • Rechercher la sécurité de l'information. Il est d'une importance critique de rester axé sur le long terme et d'investir dans la recherche de systèmes et de techniques opérationnelles qui produisent des réseaux capables de survivre aux attaques tout en protégeant les données sensibles (...)

    Les instances gouvernementales devraient appuyer l'adoption d'un agenda appuyant la recherche de nouvelles approches en matière de sécurité des systèmes. Ces approches devraient cibler, entre autres, la conception et la mise en œuvre des outils informatiques, le sauvetage des systèmes, la résistance aux attaques et l'élaboration de mécanismes d'appui à la sécurité (...)

  • Augmenter le nombre des techniciens spécialisés. L'identification par le gouvernement de centres d'excellence pour la cybersécurité, l'octroi d'appuis à ces centres et l'offre de bourses d'études aux étudiants qui y sont inscrits afin d'obtenir un diplôme dans le domaine de la cybersécurité sont des mesures orientées dans la bonne direction (...)

  • Sensibiliser et former les usagers de l'internet. La facilité d'accès alliée à la disponibilité d'interfaces conviviales ont attiré vers l'internet des usagers de tous âges et de tous les horizons socioprofessionnels. De ce fait, nombreux sont les internautes qui ne comprennent guère la technologie de l'internet ni l'importance des pratiques de sécurité à adopter. Pour encourager « l'informatique sans risque », le gouvernement pourrait prendre les mesures suivantes :

    • Appuyer la mise au point de matériel et de programmes pédagogiques relatifs au cyberespace auxquels tous les usagers pourraient accéder. Il est essentiel d'éduquer et de sensibiliser le gens aux spécificités de la sécurité, aux menaces, aux options et au comportement approprié dans le cyberespace (...)

    • Appuyer des programmes qui dispenseraient aux nouveaux usagers de l'internet une formation aux pratiques de sécurité et au bon usage des systèmes informatiques. Cette formation devrait être intégrée dans le cursus général de l'enseignement de l'informatique (...)

La création, en juin 2003, de la Division de la cybersécurité nationale (National Cyber Security Division, NCSD), au sein du ministère de la sécurité intérieure, constitue une mesure cruciale en vue de la mise en œuvre de ces recommandations. La mission de la NCSD et la structure de l'organisation sont soigneusement alignées sur la coordination de la mise en œuvre des recommandations que je viens de décrire. Toutefois, l'instauration d'un « cyberespace plus sûr » exigera que la NCSD et toutes les instances du gouvernement fédéral des États-Unis œuvrent avec les autorités gouvernementales des États, les administrations locales et le secteur privé pour favoriser l'instauration de meilleures pratiques en matière de logiciels, une sensibilisation accrue à tous les niveaux, une intensification des activités de recherche et développement et un renforcement de la formation de techniciens spécialisés.

Conclusion

Notre dépendance à l'égard de systèmes informatiques interconnectés s'accroît rapidement et les perturbations, même brèves, dues aux virus et vers informatiques peuvent avoir des conséquences majeures. Nos solutions actuelles ne sont plus à la mesure des attaques dont la puissance et la rapidité ne font que croître et nos infrastructures d'information sont en danger (...) Nous pouvons réaliser des progrès significatifs en apportant des changements à la conception et aux pratiques d'utilisation des logiciels, en augmentant le nombre de gestionnaires et d'administrateurs de systèmes ayant reçu une formation appropriée, en relevant le niveau des connaissances des utilisateurs et en intensifiant la recherche de systèmes sécurisés et capables de survivre aux attaques. Un appui accru de l'État en faveur de la recherche, du développement et de l'éducation dans le domaine de la sécurité des ordinateurs et des réseaux aurait un effet positif sur la sécurité générale de l'internet.

thin black line

© 2003 Carnegie Mellon University

Les opinions exprimées dans le présent article sont celles de l'auteur et ne reflètent pas nécessairement les vues ou la ligne d'action du département d'État des États-Unis.

thin black line
Retour au début | Sommaire - Dossiers mondiaux, novembre 2003 | Revues IIP | Accueil IIP