Vidéo: RSAC x ЁЛКА — НЕ НАГОВАРИВАЙ (официальный клип) (Novembre 2024)
L'outil gratuit Personal Software Inspector de Secunia vérifie tous les logiciels de votre PC, identifie les programmes nécessitant des mises à jour et vous aide à les appliquer. La société recueille également des statistiques sur les vulnérabilités et publie un rapport annuel. Lors de la conférence RSA, Peter Colsted, PDG de Secunia, et Morten Stengaard, CTO, ont passé en revue le dernier rapport avec moi.
"Globalement, la majorité des vulnérabilités se trouvent toujours dans des programmes tiers", a déclaré Stengaard. "Le nombre total augmente, avec plus de 13 000 nouveaux produits en 2013, contre une moyenne d'environ 9 000 les années précédentes. La forte augmentation est principalement imputable à IBM. Le problème reste énorme, avec plus de 2 000 produits vulnérables."
Stengaard a noté que parmi les 50 vulnérabilités les plus fréquemment rencontrées, les plus courantes sont les programmes non-Microsoft, même si le nombre de programmes Microsoft affectés est important. "Les produits Microsoft sont assez bien couverts", a déclaré Stengaard, "et les gens ont tendance à mettre à jour." (Une étude récente a montré que la correction de Windows était un élément important de toute stratégie de sécurité).
Le rapport montre clairement beaucoup plus de vulnérabilités dans les navigateurs et les lecteurs PDF les plus populaires que dans les autres marques. "Vous pouvez utiliser le produit de votre choix, du moment que vous corrigez", a déclaré Colsted. "Si vous savez que vous n'allez pas patcher, vous feriez mieux d'utiliser un programme moins courant."
Changement d'attitude
"Nous assistons à une nouvelle stratégie dans les entreprises", a déclaré Stengaard. "Instancés à soumettre un correctif à des tests poussés avant de le déployer, ils déploient les correctifs à mesure qu'ils apparaissent, avec une option permettant de revenir en arrière si le correctif pose problème."
L'ancienne stratégie test-first repose sur l'idée qu'un patch peut faire du mal; J'ai demandé combien de temps depuis le dernier "mauvais patch". Stengaard a répondu: "En réalité, cela fait des années qu'un correctif Microsoft n'a jamais été aussi volé. Même chose pour de nombreuses applications tierces. Nos clients se sentent plus en sécurité."
Suivi mobile
Secunia a publié une version Android de PSI l'année dernière, mais les données ne sont pas encore suffisamment complètes pour mériter un rapport spécifique à Android. "Les logiciels malveillants sont si faciles sur Android", a déclaré Stengaard, "rien ne les incite à rechercher des vulnérabilités. Les quelques-uns qui existent ciblent les suspects habituels - des éléments toujours installés tels que des navigateurs et des lecteurs PDF. Nous avons prédit une augmentation cette année, mais n'est pas encore venu."
La société envisage également une édition iOS. "De plus en plus de clients demandent le support iOS", a déclaré Stengaard. "C'est là, c'est dans l'entreprise, alors ils veulent le suivre."
Les gens ne corrigent pas
"Pour résumer nos résultats cette année, " a déclaré Colsted, "la présence de vulnérabilités en matière de sécurité est un problème croissant. Elle ne disparaît pas. Et les gens ne font pas de correctifs, c'est un problème persistant. Adobe Reader, Java, Flash, les navigateurs, ils continuent d'avoir des problèmes ".
"Les gens ont vraiment besoin de faire leurs corrections", a-t-il déclaré. "Installez-le automatiquement ou faites-le manuellement. C'est comme si un antivirus était nouveau; il a fallu un certain temps pour que les gens réalisent que c'était une nécessité. Maintenant, le vrai problème, ce sont les failles de sécurité. Corriger ces problèmes est tout à fait parallèle au maintien de la protection antivirus."
"Si vous n'allez vraiment pas patcher", a conclu Colsted, "alors vous devriez choisir un programme peu connu plutôt que les grands noms populaires." Les gens d’Opera et de Foxit Reader seront certainement ravis de l’entendre dire. Vous pouvez consulter le rapport complet sur le site Web de Secunia.
