Lancement d’un rapport sur la sécurité du net suisse à Fribourg

NetObservatory a publié le 1er décembre dernier son premier rapport sur la sécurité des systèmes web des entreprises suisses. L’organisme est né en 2009 d’une collaboration entre l’Ecole d’ingénieurs et d’architectes de Fribourg et deux sociétés spécialisées dans la sécurité informatique, à savoir Dreamlab (Berne) et OS Objectif Sécurité (Vaud). L’observatoire financé jusqu’à présent par des fonds publics et privés prévoit de se transformer en société anonyme en 2011. Des prestations à destination des PME suisses seront ainsi lancées au premier semestre, dont des audits ciblés relatifs aux attaques cybercriminelles.

Un énième rapport ?

En lançant un rapport public sur la sécurité du web suisse, la future entreprise cherche à sensibiliser les PME suisses sur les vulnérabilités de leurs systèmes et susciter des besoins auxquels elle pourra répondre. Pascal Gloor, qui participe au projet au sein de Dreamlab, souligne toutefois que NetObservatory souhaite collaborer avec des spécialistes de sécurité existants et qu’elle ne va par exemple pas développer de managed security services. Reste à savoir si le marché a besoin d’un énième rapport sécuritaire alors que les entreprises disposent déjà des informations de la centrale Melani et des études réalisées par la plupart des éditeurs internationaux. Philippe Joye, Directeur du projet, rétorque que le rapport de NetObservatory se distingue des autres études, parce qu’il est destiné aux entreprises, parce qu’il est indépendant et, surtout, parce qu’il traite de la situation suisse.
En effet, l’étude a ceci d’original qu’elle se base sur l’analyse de tous les domaines en .ch, avec l’ambition d’évaluer la surface d’attaque à laquelle est exposé l’internet suisse dans son ensemble. Quant aux domaines en .com détenus par des sociétés suisses, NetObservatory projette de les prendre en compte à l’avenir.

76% de serveurs Apache, 50% vulnérables

Concrètement, la première édition du rapport de NetObservatory a été élaborée à partir de la collecte non-intrusive d’informations aussi variées que les hébergeurs de messagerie, l’état des certificats SSL ou encore les type de serveur web utilisés. Il montre que plus de 200'000 PME suisses sont exposées à des risques. Dans le domaine des serveurs de messagerie par exemple, une société - hostpoint.ch - héberge un quart des serveurs mail en .ch de sorte qu’un problème chez ce fournisseur affecterait un grand nombre d’entreprises suisses. Idem au niveau technologique: trois sociétés sur quatre employant un serveur Apache, une lacune sécuritaire dans ce produit open source exposerait un grand nombre de sites. Outre cette concentration, le principal danger réside dans les mises à jour lacunaires de nombreux systèmes employés par les PME, souligne Philippe Oechslin, directeur d’OS Objectif Sécurité et partenaire de NetObservatory. La moitié des serveurs Apache justement présentent des vulnérabilités documentées (voir graphique). Il en va de même pour les systèmes de gestion de contenus (CMS), puisque 80% des applications Typo3 et 57% des Wordpress ne sont pas à jour, alors même qu’elles font partie du trio des solutions les plus employées en Suisse.

Certificats SSL et ports

L’organisme s’est également intéressé aux sites sécurisés des sociétés (HTTPS). Il en ressort qu’un tiers des certificats ne sont pas vérifiables, le plus souvent parce que leur émetteur ne peut être trouvé. En outre, bien que la plupart de ces sites usent de l’algorithme de hachage plus récent SHA-1, certains continuent d’employer la fonction MD5 bien moins robuste. Par ailleurs, le scan des serveurs opéré par NetObservatory a révélé un grand nombre de ports ouverts, la grande majorité d’entre eux ouvrant sur des bases de données MySQL.
En fin de compte, l’étude révèle un grand nombre de vulnérabilités sans doute liées au manque de ressources dédiées des PME. Une lacune que NetObservatory et ses partenaires veulent naturellement combler.