Branle-bas de combat autour de la sécurité d'Internet ! De Microsoft à Cisco en passant par Sun ou Juniper, tous les géants de l'informatique se sont discrètement mobilisés pour parer à une importante faille de sécurité du Web dans laquelle des « hackers » (pirates informatiques) risquaient de s'engouffrer.

Notamment des escrocs spécialistes du « phishing », c'est-à-dire du vol de données bancaires personnelles. La faille était telle qu'elle menaçait potentiellement la sécurité informatique des 1,4 milliard d'internautes que compte la planète selon les experts !

Réunis dans le plus grand secret à Redmond, au siège de Microsoft, autour d'un spécialiste en sécurité informatique, Dan Kaminsky, qui dit avoir découvert le problème par hasard, il y a six mois, les grands acteurs de l'Internet ont donc mis au point fébrilement, ces dernières semaines, des logiciels correctifs.

Ces « patchs » ont été diffusés sans aucune publicité sur le réseau avant que l'affaire ne soit rendue publique hier. A priori sans précédent, la faille en question porte sur le coeur même de l'architecture d'Internet : les serveurs « DNS » (domain name system), c'est-à-dire les machines qui font automatiquement le lien entre un nom de domaine et son adresse IP (Internet Protocol).

Cette brèche invisible pour le commun des internautes - et même des informaticiens - pouvait permettre à des pirates de modifier cette correspondance et de rediriger une adresse Web vers d'autres sites de leur choix. D'où la possibilité pour des escrocs d'envoyer des internautes vers de faux sites de banques par exemple, pour récupérer leurs numéros de carte bancaire.

Or le « phishing » est en plein essor sur le Net. A lui seul, le Centre opérationnel de la sécurité des systèmes d'information (Cossi) a fait fermer plus de 1.500 sites de ce type l'an dernier en France ! « Les gens peuvent être inquiets mais ne doivent pas paniquer, car nous avons gagné autant de temps que nous pouvions, afin de tester et de mettre en application le correctif. Aucune opération de sécurité n'a jamais été réalisée à cette échelle », a expliqué mardi Dan Kaminsky, lors d'une conférence de presse.

Menée en toute discrétion, cette opération souligne la maturité croissante des acteurs high-tech en matière de sécurité, mais aussi la fragilité de l'ensemble du système. Comme beaucoup de protocoles Internet, le DNS a été conçu sans se préoccuper véritablement de la sécurité. Résultat, « la faille est de nature structurelle », explique un expert français. Autrement dit, elle ne peut pas être totalement éliminée, mais seulement sensiblement réduite.

Pour autant, la faille de sécurité ne porte que sur certains serveurs DNS. En début d'année, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa) de l'Etat français, qui dépend de Matignon, évaluait le nombre des serveurs vulnérables à environ 17 millions dans le monde. Un potentiel plus que suffisant pour beaucoup d'escrocs de l'Internet.