Notre sécurité en ligne est leur préoccupation quotidienne
Rencontre avec les chercheurs du CyLab
Publié le 11/03/2010, par Isabelle Boucq
« Comment pouvez-vous faire confiance au PC que vous utilisez tous les jours ? Comment savoir s’il n’y a pas un malware qui récupère les mots de passe que vous tapez sur votre clavier ? », commence Adrian Perrig, un des membres de CyLab. Sa recherche est orientée vers ce qu’il appelle l’« exécution en environnement isolé ». Il est impossible de sécuriser des millions de lignes de codes, mais on peut créer une partition pour isoler les informations sensibles dans un environnement sécurisé.
Son travail repose sur le Trusted Platform Module (TPM), un composant cryptographique inséré dans l’ordinateur qui permet de surveiller l’exécution d’une application. « TPM, c’est le Père Noël et les cloches de Pâques en même temps pour construire un système sécurisé », explique le jeune chercheur. « Déjà plus de 200 millions d’ordinateurs ont un TPM intégré et Intel projette d’intégrer TPM dans ses puces. »
« Nous avons construit plusieurs systèmes basés sur TPM qui nous permettent de savoir que l’application est bien en train de s’exécuter et qu’aucun malware ne peut lire les informations sensibles. Oui, on peut essayer de manipuler le TPM. Mais nous sommes alors conscients de la tentative », continue Adrian Perrig. Ses recherches pourraient rendre les transactions bancaires en ligne plus sûres.
L’irrationnel humain n’arrange pas les choses
Le chercheur suivant, Alessandro Acquisti, est en fait un économiste comportemental. Cette discipline étudie le comportement, souvent assez irrationnel, des êtres humains devant des décisions économiques. « Les internautes disent qu’ils iraient encore plus en ligne si leur vie privée était mieux protégée, mais leur comportement montre qu’ils ne sont même pas prêts à installer des solutions gratuites pour protéger leur vie privée », affirme le chercheur.
Il constate que plus un site a l’air amateur, plus les internautes sont prêts à divulguer des informations sensibles. Au contraire, plus un site propose de paramètres pour les protéger, moins les internautes ont tendance à les utiliser. Pour prouver que nous sommes des êtres pleins de contradictions, il s’est livré à plusieurs expériences.
Dans une expérience, sous prétexte de réaliser une enquête, Alessandro Acquisti a proposé à des sujets de recevoir en récompense une carte cadeau anonyme d’une valeur de 10 dollars ou bien une carte de 12 dollars qui permettrait de surveiller les achats effectués. Il leur donnait une des cartes avant de leur parler de la seconde et de leur demander s’ils voulaient échanger. Son objectif était de comprendre quelle valeur les sujets attribuent à leur vie privée.
Bien que le choix soit essentiellement le même, ceux qui avaient reçu une carte de 10 dollars étaient 52% à préférer la garder plutôt que d’abandonner la confidentialité de leurs achats. Tandis que ceux qui avaient reçu une carte sous surveillance d’une valeur de 12 dollars n’étaient que 10% à l’échanger contre une carte anonyme de 10 dollars ! « Notre préoccupation en termes de sécurité et de vie privée ne sont pas stables. Cela dépend de la façon dont on présente les choses », conclut Alessandro Acquisti. « Quand on construit des systèmes, il faut prendre en compte ces déviations. Informer les consommateurs ne change pas leurs comportements. »
Des malwares à l’explosion exponentielle
David Brumley part d’un constat : on répertoriait 40 225 malwares en 2005 et 867 041 en 2009. A ce rythme-là, les systèmes d’analyse des malwares devraient être débordés d’ici 2012 car ils seront pris de vitesse. Le problème est encore plus fragrant sur les machines moins puissantes comme les téléphones portables et autres gadgets connectés. « Nous avons développé un nouvel algorithme qui fait une comparaison rapide. La reconnaissance des malwares est correcte à 99%, mais l’intérêt est que c’est beaucoup plus rapide », explique David Brumley.
Un autre sujet qui empêche ce chercheur de dormir est une perversité inhérente aux mises à jour. Vous avez sans doute entendu qu’il est conseillé de mettre vos logiciels à jour (Windows, navigateur,…) car ces « patches » comportent souvent des remèdes contre des failles de sécurité. Mais l’ironie est que les cybercriminels se servent de ces mises à jour pour découvrir les failles qui ont été réparées. Avant que tous les utilisateurs n’aient le temps de mettre leur système à jour, les criminels développent des virus qui attaquent ces zones sensibles ! La parade de David Brumley est la « génération automatique d’exploits », c’est-à-dire la création automatisée d’attaques potentielles. « Cela permet, par exemple, de faire une liste des failles à réparer en priorité », explique-t-il.
Votre navigateur est-il le plus sûr ?
Collin Jackson, un autre chercheur du CyLab, est obsédé par les mesures de sécurité prises par les développeurs de navigateurs (Internet Explorer, Firefox, Chrome, Safari,….). Il fait partie d’une équipe qui tient à jour un site où les dernières fonctionnalités sont décortiquées : Browserscope.org. Tout un chacun peut se connecter et lancer un test pour savoir comment son navigateur se situe en termes de sécurité.
Selon Collin Jackson, une attaque courante est le « click jacking ». Croyant cliquer sur un bouton sur une page web connue, l’internaute est en fait berné par une page qui est venue se superposer. Sans le savoir, il clique « OK » pour tout autre chose. Une parade efficace est une fonction baptisée X-Frame que beaucoup de navigateurs ont mis en place. Mais pas le mien, Firefox !
Une autre astuce utilisée par les criminels se sert de notre propension à ouvrir plusieurs onglets dans notre navigateur. Si vous vous identifiez sur la page de votre banque tout en ayant une page malicieuse ouverte, le criminel peut faire autoriser un transfert d’argent de votre compte vers le sien en se servant de votre connexion. La parade, « origin header », n’est présente que dans Chrome et Safari.
PayPal, le site de micro-paiement, est une application particulièrement visée par les attaques. Collin Jackson annonce que, pour se défendre, le site sera bientôt entièrement accessible en https, un protocole plus sécurisé. « J’espère que ce sera le début d’un mouvement », conclut Collin Jackson.
Certes, la plupart d’entre nous n’ont pas à se préoccuper de ces sujets au quotidien, mais c’est rassurant de savoir que quelques brillants cerveaux sont sur la brèche.
ACCÈS direct
