Le monde change. Il y a encore 5 ans de cela, écrire un programme malveillant n’était souvent qu’un jeu. Depuis 2 ans, le processus s’est organisé et s’est professionnalisé. Il en est aujourd’hui de même pour les vulnérabilités.
En premier lieu, on les utilise pour optimiser les attaques : c’est au travers de failles récentes que sont diffusés de nombreux programmes malveillants.
On cherche aussi à les vendre. Des organismes travaillants dans la sécurité ont la mauvaise idée de se proposer comme acheteur. Un marché noir se développe et des acquéreurs clairement malintentionnés cherchent, eux aussi, à s’en procurer pour mieux réussir leurs forfaits.
2006 fut aussi l’année d’autres actes irresponsables avec, en juillet, « le mois des failles sur les navigateurs web », et en novembre, « le mois des bugs dans le kernel ». Le but était d’annoncer une vulnérabilité par jour. En juillet Microsoft fut la principale victime. En novembre ce furent les systèmes d'exploitation compatibles Unix. On se devait donc de ne pas oublier Apple ! Remercions donc LHM (pseudo d’un « hacker » bien connu) et Kevin Finisterre qui nous offrent pour janvier « le mois des bugs Apple ».
C'est une pratique irresponsable qui fait courir le risque d'une exploitation à grande échelle, avant la mise en ligne d'une parade. Les instigateurs de ce chalenge disent en avoir conscience, ils disent aussi s'attendre à voir certaines de leurs annonces rapidement exploitées sur Internet. Au lieu d’en être affecté, ils poursuivent en toute connaissance de cause leur entreprise.
Commentaires