Plus il y a de spécialistes de la sécurité qui se penchent sur le Net et plus on y découvre des trous. Rien que cette semaine, trois failles majeures permettant d'espionner les e-mails ou de capter des données ont été découvertes. Lundi, premier avertissement. Richard Smith, consultant de la Privacy Foundation, signale qu'il est possible de glisser un mouchard dans certains e-mails. En l'occurrence, ceux qui utilisent le langage informatique Javascript, en standard sur les messageries de Microsoft et de Netscape, et destiné à ajouter des animations et des couleurs dans ses courriers. Conséquence: lorsqu'un tel e-mail est réexpédié à d'autres personnes, et agrémentés de commentaires, l'expéditeur originel peut tout récupérer. On imagine le profit qu'un malin pourrait en tirer, envoyant un e-mail au sein d'une entreprise, puis suivant le parcours de son message de machines en machines, avec tous les commentaires des salariés sur son texte. Interception. Le même jour, une équipe de chercheurs de Berkeley (Californie) a révélé qu'une technologie destinée à éviter l'interception des données transitant par les réseaux sans fil ne protégeait pas grand-chose. Risque: qu'un pirate doté d'une antenne spéciale s'amuse à intercepter toutes les correspondances et données. Enfin, dernier accroc, mais réservé à des pirates organisés et disposant d'ordinateurs surpuissants: celui de l'algorithme DSA (algorithme de signature numérique), souvent utilisé pour protéger nombre de transactions de commerce électronique et de communications via le Net entre entreprises. Une erreur dans le programme rendait possible l'interception des messages. Pas de panique pour autant. «Ce n'est pas parce qu'une faille existe que des pirates s'en servent pour espionner», tempère un hacker français. De fait, de tels accrocs dans la Toile sont découverts chaque jour, et des hordes de pirates ne se ruent pas pour les exploiter et barboter les e-mails ou le numéro de carte bancaire de tout un chacun. Nombre de sites spécialisés ou de listes de diffusion, tels Bugtraq, les recensent. Certains sont mineurs, d'autres, comme les trois révélés cette semaine, apparaissent plus inquiétants. Plus qu'un catalogue de menaces, c'est surtout le point de départ d'une course sans fin entre pirates, susceptibles de profiter de ces failles, et spécialistes de la sécurité informatique, chargés de les réparer. «Test d'intrusion». «La sécurité absolue, ça n'existe pas», rappelle Paul-André Pays, fondateur de la société de sécurité informatique EdelWeb. Pour les entreprises soucieuses d'éviter les pépins, la solution passe par des chèques signés aux spécialistes chargés de vérifier leur installation. Le «test d'intrusion» est très en vogue ces temps-ci: les salariés de firmes comme EdelWeb sont payés pour se transformer en pirates professionnels le temps d'une mission. Munis de la liste de toutes les failles connues, ils tentent de s'infiltrer dans le réseau de l'entreprise. Puis font un rapport. Côté utilisateur lambda, rien de tel. Les vendeurs de logiciels et les fournisseurs d'accès évitent soigneusement de leur rappeler à tout instant qu'il faut faire gaffe. «En général, les gens installent un antivirus sur leur machine et se sentent en sécurité», dit Denis Ducamp, consultant en sécurité de la firme HSC. Il évoque la «neuneutisation des utilisateurs»: à multiplier les gadgets destinés aux internautes, on multiplie aussi les risques. Ainsi du problème découvert par Richard Smith sur les e-mails. A l'origine, un courrier électronique était simple: du texte, et rien d'autre. Aujourd'hui, la mode est aux e-mails pleins de couleurs, d'animations, etc. C'est moins tristoune, mais cela permet aussi de les transformer en mouchards. Du coup, les plus avertis des utilisateurs adoptent une sorte de parano préventive. «J'utilise un logiciel de mail qui ne fait que du texte», dit Denis Ducamp. Pour sa part, le jeune hacker explique qu'il préfère «voir les gens en face à face plutôt que d'expédier un e-mail, lorsqu'il s'agit d'un sujet chaud». Et qu'il crypte ses fichiers les plus personnels sur son disque dur, «ce qui est sans doute superparano, mais ne on sait jamais». Une attitude que les organisateurs du Forum de Davos auraient pu mettre à profit en évitant de stocker dans une base de données reliée au Net trop de renseignements sur leurs convives, comme on l'a appris la semaine dernière. Et épargner ainsi à Messier, Arnault et 1 400 autres de voir leurs numéros de cartes bancaires et de téléphones récupérés par des pirates facétieux.