Vidéo: Le sans-fil, c’est fantastique (surtout pour les hackers) ! // Damien CAUQUIL (aka virtualabs) (Novembre 2024)
Les produits tiers prennent un coup
Personne ne sera surpris d'apprendre que le nombre total de vulnérabilités connues augmente d'année en année, ou que la plupart reposent sur une attaque de réseau à distance pour pénétrer dans des réseaux vulnérables. Toutefois, les systèmes d’exploitation et les programmes Microsoft présentent des lacunes importantes qui représentent une part de plus en plus réduite du total. Secunia rapporte que 86% des vulnérabilités actives en 2012 concernaient des produits tiers tels que Java, Flash et Adobe Reader. En 2007, les vulnérabilités tierces représentaient moins de 60% du total.
Sur le plan positif, la fenêtre dangereuse entre la découverte d’une vulnérabilité et la création d’un correctif se réduit. Secunia a annoncé la disponibilité de correctifs le jour même pour 80% de ces menaces en 2012, contre un peu plus de 60% en 2007. Cela laisse 20% qui n'ont pas de correctif le même jour, voire dans les 30 jours, tous vos logiciels mis à jour vous permettront d'obtenir tous les correctifs du jour même.
SCADA Insecurity
L'examen de 2013 fait état de vulnérabilités dans les systèmes SCADA (contrôle de surveillance et acquisition de données). Ces systèmes contrôlent des usines, des centrales électriques, des réacteurs nucléaires et d’autres installations industrielles très importantes. Le tristement célèbre ver Stuxnet a détruit des centrifugeuses d’enrichissement d’uranium en Iran en reprenant leurs contrôleurs SCADA.
Selon Secunia, "le logiciel SCADA est au stade actuel du logiciel grand public il y a 10 ans (…) De nombreuses vulnérabilités ne sont pas corrigées plus d'un mois dans le logiciel SCADA." Un tableau chronologique indiquant les vulnérabilités SCADA représentatives révèle que plusieurs personnes de la catégorie à haut risque sont restées sans correctifs pendant plus de 90 jours.
En théorie, les systèmes SCADA devraient être moins vulnérables car ils ne sont pas connectés à Internet. En pratique, ce n'est pas toujours le cas et même une connexion réseau locale peut être compromise par des attaquants. Un «intervalle d'air» total, sans aucune connexion réseau, ne protégeait pas les centrifugeuses Stuxnet. Ils sont tombés sur des clés USB infectées insérées à leur insu par des techniciens. Il est clair que les éditeurs de logiciels SCADA ont encore du travail à faire pour maintenir la sécurité et diffuser les correctifs.
Les pirates vont pour l'or
Une vulnérabilité de type «jour zéro» est une vulnérabilité qui vient d'être découverte, une vulnérabilité pour laquelle aucun correctif n'existe. Le rapport de Secunia inclut un graphique informatif indiquant le nombre de jours zéro trouvés chaque année dans les 25 programmes les plus populaires et dans les 50, 100, 200 et 400 premiers. Les chiffres globaux diffèrent d’une année à l’autre, culminant en 2011 avec 15 jours zéro.
Ce qui est plus intéressant, c’est qu’au cours d’une année donnée, les chiffres ne changent guère alors que le nombre de programmes potentiellement compromis augmente. Presque tous les jours zéro affectent les programmes les plus populaires. Cela fait beaucoup de sens. Découvrir une faille de programme que personne d’autre n’a jamais trouvée nécessite beaucoup de recherche et de travail acharné. Il est logique que les pirates informatiques se concentrent sur les programmes les plus largement distribués. Un exploit qui prend le contrôle total du système de la victime n'a pas beaucoup de valeur si le programme vulnérable n'est installé que sur un système sur un million.
Plus à apprendre
J'ai atteint les sommets, mais il y a beaucoup à apprendre du rapport de vulnérabilité de Secunia. Vous pouvez télécharger l'intégralité du rapport sur le site Web de Secunia. Si le rapport complet semble un peu accablant, ne vous inquiétez pas. Les chercheurs de Secunia ont également préparé une infographie qui frappe tous les hauts lieux.
