LAS VEGAS – «Les éditeurs de logiciels et les fournisseurs de services internet sont en partie responsables de la vulnérabilité des réseaux du pays». C’est en substance ce qu’a dit mercredi 31 juillet Richard Clarke, le conseiller spécial du président Bush chargé des questions de sécurité dans le « cyberespace », devant un millier de personnes venues assister aux conférences Black Hat Security Briefings. Tous étaient venus pour cette grand-messe annuelle qui a réuni des experts en sécurité informatique à Las Vegas les 31 juillet et 1er août. Ces « briefings » sont organisés tous les ans en prélude au « congrès » des hackers, Defcon (du 2 au 4 août, également à Las Vegas), qui fête cette année son 10e anniversaire.
Cette intervention était un avant-goût de la stratégie nationale pour la protection des infrastructures, que le gouvernement américain lancera le 18 septembre. Le conseiller a abordé les sujets qui motivent cette nouvelle offensive.
Principale cible: les professionnels, qui doivent se montrer plus sérieux. «Nombreux sont ceux qui dans notre pays utilisent le cyberespace, mais ne prennent pas les mesures qui leur incombent pour sécuriser leur activité». Pour lui, les constructeurs et éditeurs informatiques ne font pas assez pour sécuriser leurs produits. «L’industrie du logiciel a le devoir de mieux s’appliquer dans la production de logiciels fonctionnels». «Il n’est plus tolérable d’acheter des logiciels et de les exécuter sur des systèmes sensibles truffés de failles.» Une allusion directe aux statistiques du CERT (Computer Emergency Response Team) qui montrent que le nombre de vulnérabilités décelées dans les logiciels augmente chaque année.
Et de citer l’exemple du virus-ver Nimda qui, en septembre dernier, a sévi dans presque tous les établissements bancaires et financiers, même si beaucoup ont tu ces incidents. Une visite qui a coûté cher, avec des dommages estimés à plusieurs milliards de dollars. Pourtant, le virus s’est installé sur les ordinateurs en profitant de vulnérabilités bel et bien connues. «Ce n’est pas parce que les vulnérabilités n’avaient pas été décelées [que Nimda a frappé partout], mais parce que les correctifs adéquats n’avaient pas été installés» a dit Clarke.
Bientôt un organe national de contrôle de la « cybersécurité »?
Les éditeurs sont donc appelés à fournir des correctifs faciles à installer et dont la compatibilité avec les principales applications a été contrôlée. «C’est la raison du succès de Nimda.» «Ce n’est pas parce que [les administrateurs système] n’ont pas pu installer les correctifs, mais parce qu’ils préféraient les tester d’abord eux-mêmes.»
Les fournisseurs de services internet (ISP) sont également montrés du doigt, ainsi que ceux qui mettent en place et utilisent des réseaux sans fil. Ils doivent être plus consciencieux, a clamé Clarke. Ceux-ci, comme les opérateurs qui vendent des connexions haut débit à des particuliers sans avoir fait de la sécurité une priorité, sont en partie responsables. Sans parler des ordinateurs dotés de connexions haut débit qui ne sont pas sécurisés. Il a indiqué que le gouvernement a déjà ordonné la fermeture de réseaux LAN sans fil utilisés dans son ministère et par certaines branches de la Défense américaine.
Pour faire passer son message, il a établi un parallèle avec le comportement des Britanniques pendant la Seconde guerre mondiale, et notamment celui de leur Premier ministre Winston Churchill. Ce dernier les avait préparés à l’attaque allemande. S’adressant aux administrateurs système, il a dit: «Vous devez être comme Winston Churchill.» «Si une cyberguerre arrive, et elle finira par arriver, nous nous comporterons comme s’est comportée la [Royal Air Force], et nous gagnerons.»
source : www.zdnet.fr