Les attaques informatiques : qui peut en être victime ?

*Un troll est caché dans ce texte. Saurez-vous le trouver ?*

L’une des questions les plus récurrentes de la part des professionnels est certainement de savoir s’ils peuvent être les victimes potentielles d’une attaque informatique, peu importe la couche concernée par l’attaque. La question est de savoir s’il existe une sorte de profil des victimes des attaques informatiques et la réponse pourrait être oui et non.

De façon simple, concrète et presque réductrice, n’importe qui peut faire l’objet d’une attaque informatique : vol de données confidentielles, défacement de sites Web, exploitation de failles distantes, etc. A partir du moment où une personne met quelque chose en ligne, ce quelque chose peut se retrouver « dérobé » ou « détourné » de son usage initial. Il convient aussi de relativiser en procédant à une analogie avec la vie réelle : n’importe qui peut être victime d’un banal accident simplement en sortant de chez lui et en allant travailler.

Si on entre un peu plus dans le détail, on s’aperçoit néanmoins qu’il existe certains traits communs entre les « victimes » d’attaques informatiques.

Si on regarde les statistiques de Zone H – un site compilant les informations de sites Web attaqués – on se rend compte d’une évidence : les attaquants choisissent aussi leurs cibles en fonction des failles distantes qu’ils trouvent. Une faille distante est une vulnérabilité sur un serveur Web. C’est-à-dire qu’au lieu d’attaquer un par un tous les sites choisis, l’attaquant va attaquer directement le serveur. Ce type d’exploitation de vulnérabilités n’a de sens que s’il existe plusieurs sites sur un même serveur ce qui est le cas des sites qui bénéficient d’un serveur mutualisé.  L’intérêt dans cette optique est bien souvent purement anecdotique pour les attaquants : cela sert principalement leur ego. Ce sont des attaques ciblées non en fonction de ce que représentent les sites Web, mais en fonction des vulnérabilités facilement exploitables. C’est plus de la malveillance bête et méchante qu’autre chose, guidée par une guerre d’ego.

Dans un autre genre, il y a bien entendu les sites de e-commerce et plus globalement, les sites stockant des données personnelles – sans pour autant que les données soient relatives à des identifications bancaires. Quand on sait que des fichiers de données personnelles se vendent et se revendent très bien, notamment pour le spam, on comprend rapidement l’intérêt pour un attaquant d’aller taper dans les bases de données. Le but poursuivi est alors purement financier.

Mais il ne faut pas s’imaginer que seuls les grands sites de e-commerce sont des victimes potentielles. La personne possédant un petit site Web sur lequel elle va vendre des petits objets customisés peut aussi très bien faire l’objet de ce type d’attaques. Il est même plus facile de s’en prendre à un e-commerce de taille modeste qui n’aura pas les mêmes moyens financiers et techniques pour sécuriser ses interfaces qu’une grande compagnie ni les mêmes moyens juridiques et financiers pour poursuivre l’attaquant.

Il existe une troisième catégorie de victimes : les personnes faisant l’objet d’attaques non pas en fonction des vulnérabilités présentes sur leurs interfaces Web mais en fonction de leurs personnes ou de ce qu’elles représentent. Dans cette hypothèse, ce sont des attaques personnelles diligentées avec un outil informatique mais qui revient finalement au même que d’attraper la personne concernée pour lui coller une baffe. La différence est que la baffe devient numérique. Certaines grandes structures ont fait l’objet d’attaques informatiques qui peuvent s’analyser comme des représailles et soulèvent la question de savoir à quel moment on passe du stade de la protestation au stade des représailles. A titre personnel, une attaque DDOS – bien que pouvant être handicapante et gênante – ne s’analyse pas nécessairement comme une forme de malveillance. Tout au plus peut-on parler de nuisances, certes malveillante et gênante mais sur une échelle de gravité, peut-être moins grave et dommageable qu’un défacement ou la « vidange » complète d’un site. Encore une fois, ceci est un avis personnel et dépend de certains paramètres.

Pour conclure cette tentative de typologie, il convient de souligner un point. On observe de plus en plus de sites Web conçus non pas par des webmasters rompus aux questions de la sécurité informatique mais par des webdesigners. Ces derniers font bien souvent de l’excellent travail en terme d’ergonomie, de design, suivent strictement les commandes qui leur sont faites mais ne prennent pas la peine de vérifier certains éléments et n’ont aucune connaissance en matière de sécurité informatique. Ainsi, en surfant sur le site Web d’un club parisien, il a été découvert – par pur hasard – quelques failles. En discutant avec le webdesigner, il était évident que le malheureux n’avait pas le minimum syndical pour comprendre où se situaient les problèmes. Le responsable des sites Web du club en question était encore moins informé que le webdesigner.

On est d’accord pour dire qu’en face d’un attaquant très motivé, on peut voir ses interfaces Web tomber et nul n’est à l’abri d’une étourderie – moi la première. Mais quand on trouve une soixantaine de failles XSS sur un site, environ deux cents erreurs dans le code et que le site Web professionnel est sur un service de type simple hosting, on se dit que cela fait beaucoup pour une seule entité, qui se veut être « à la pointe des nouvelles technologies » (sic !).

Partant de là, qui est responsable en cas d’attaques ? Celui qui a effectivement attaqué ou ceux qui ont conçus le site Web sans le sécuriser un minimum et qui ont été avertis de l'existance des failles ?