La faille de sécurité trouvée au coeur même du réseau Internet est pire que prévue, affirme l'homme qui l'a rapportée pour la première fois.
Rendue publique le mois dernier, cette faille touche le Domain Name System (DNS), le système central qui gère les adresses des sites et convertit les noms de site Web (technaute.com) en adresses numériques.
Dan Kaminsky a donné davantage de détails sur cette faille à la conférence Black Hat de Las Vegas.
Il affirme que jusqu'ici, les correctifs ont principalement porté sur les fureteurs. La communauté a cherché à empêcher les fraudeurs d'utiliser des adresses légitimes pour rediriger des internautes vers des sites d'hameçonnage.
Mais Dan Kaminsky a démontré hier comment la faille pourrait être utilisée pour intercepter et manipuler des courriels, ou encore pour empoisonner des sites Web avec des fenêtres «pop-up». Il affirme qu'en tout, il existe une quinzaine de façon dont cette faille peut être exploitée.
Par exemple, les adresses qui commencent par https://, signifiant qu'un site est sécurisé, pourraient être contournées par des pirates.
Dan Kaminsky, qui a travaillé avec des entreprises comme Microsoft, Sun Microsystems et Cisco pour corriger la faille, affirme que 75% des plus grandes entreprises ont réglé le problème, mais qu'il reste environ 15% d'entre elles qui n'ont absolument rien fait.
Chez VeriSign, qui gère les bases de données des adresses .com et .net, on affirme que la faille a été quelque peu exagérée. L'entreprise dit avoir anticipé cette faille et avoir trouvé des moyens de la contourner.
«La plus grosse faille de sécurité en informatique se trouve entre le clavier et le dossier de la chaise», dit Ken Silva, chef de la technologie chez VeriSign.
Il soutient que même si des mesures de sécurité ont été mises en place, cela ne signifie pas que les internautes peuvent relaxer. Il prône l'éducation des utilisateurs.
«Les consommateurs ne devraient pas se fier à l'apparence d'un site Internet. Ils devraient se fier à la sécurité derrière ce site Web et faire des choses simples, comme utiliser des mots de passe plus sécuritaires et changer ces mots de passe régulièrement», dit Ken Silva.
Avec la BBC