Publié

Internet : grave faille de sécurité corrigée

Microsoft souffre de la baisse des dépenses d'équipement informatique.
Sans "patch", la toile aurait été la proie des pirates du web.
Les géants informatiques mondiaux, dont Microsoft, Sun Microsystems et Cisco, se sont mobilisés ces derniers mois pour corriger une grave faille de sécurité qui menaçait internet et diffusent à grande échelle un "patch" de correction.

Le spécialiste en sécurité Dan Kaminsky, de IO Active, a
découvert il y a six mois cette faille qui portait sur le Domain
Name System (DNS), le système central qui met en relation les
adresses des sites et les pages stockées sur des serveurs, via des
numéros similaires à des numéros de téléphone.

Il a alors réuni les grands groupes internet, qui ont planché
discrètement pendant des mois pour mettre au point une solution. Le
patch est diffusé cette semaine aux entreprises et aux internautes,
généralement via des mises à jour automatiques des systèmes.

Risque de « phishing »

Cette faille aurait pu permettre à des pirates de rediriger
n'importe quelle adresse internet vers d'autres sites de leur
choix, et d'ainsi contrôler le trafic internet mondial.



Le risque est notamment celui du " phishing ", où des escrocs dirigent
les internautes à leur insu vers de faux sites de banques par
exemple, pour récupérer leurs numéros de cartes bancaires ou autres
données sensibles.



Un pirate aurait aussi pu ainsi voler des courriels ou toute sorte
de données. "Aucune opération de sécurité n'a jamais été réalisée à
cette échelle", a commenté M. Kaminsky, qui a mis en place un site
( www.doxpara.com ) pour permettre
aux internautes de tester leur vulnérabilité à cette faille.

Pas de panique !

"C'est un problème-clé qui gouverne toute l'architecture de
l'internet", a souligné l'expert en sécurité Rich Mogull, de la
société Securosis, lors d'une conférence téléphonique. En
détournant les adresses "vous auriez l'internet mais pas celui que
vous attendez", a-t-il expliqué.



"Les gens peuvent être inquiets mais ne doivent pas paniquer, car
nous avons gagné autant de temps que nous pouvions, afin de tester
et de mettre en application le patch", a commenté Dan
Kaminsky.



afp/sbo

Publié

Un "patch" correctif

Pour la première fois, les grands groupes informatiques ont décidé ensemble de lancer une diffusion massive simultanée du patch sur toutes les plateformes informatiques, ce qui devrait protéger la plupart des internautes.

Les détails techniques ne seront publiés que dans un mois, le temps d'installer le correctif. Microsoft a notamment diffusé mardi le correctif dans une mise à jour de Windows.

"C'est un jour important", a commenté Jeff Moss, fondateur de la conférence de la sécurité informatique Black Hat. "Nous assistons à la diffusion massive d'un pacth multi-vendeur pour une faille internet qui aurait pu, par exemple, permettre à quelqu'un de rediriger l'adresse Google.com là ou il voulait".

Collaboration sans précédent

Le spécialiste en sécurité Dan Kaminsky et 16 autres checheurs du monde entier s'étaient retrouvés en mars sur le campus de Microsoft à Redmond (nord-ouest des Etats-Unis) pour travailler sur une parade, dans un effort de collaboration sans précédent.

Généralement les experts en sécurité vendent aux entreprises les détails sur les failles qu'ils découvrent, mais Dan Kaminsky a choisi de prévenir tout le monde en raison de l'importance de l'enjeu.