Vidéo: SA TOURNE BIEN !! 😅 Résolution de la panne Liquide de Refroidissement de l'Opel Agila 🚗 (Novembre 2024)
La société d’informations suisse High-Tech Bridge a fait l’actualité l’année dernière en obligeant Yahoo à proposer plus qu’un t-shirt en guise de prime aux insectes. Ce type de recherche ne correspond toutefois pas à ce que font quotidiennement les chercheurs de la HTB. Leur principal objectif est d'identifier les vulnérabilités et de publier des avis de sécurité relatifs à leurs conclusions. Le groupe a publié 62 avis en 2013 et constaté une amélioration globale de la réactivité du secteur.
Réparations plus rapides
Selon un rapport de la HTB qui vient de paraître, les éditeurs ont publié les correctifs des problèmes signalés beaucoup plus rapidement qu'en 2012. En outre, "la grande majorité des éditeurs ont alerté leurs utilisateurs finaux sur les vulnérabilités de manière juste et rapide", ont résolu le problème en silence ou minimisé le risque. Le rapport a appelé Mijosoft (et non Microsoft) pour de mauvaises pratiques de sécurité.
Le délai moyen de correction des vulnérabilités critiques est passé de 17 jours en 2012 à 11 jours en 2013, soit une réduction impressionnante. Les vulnérabilités à risque moyen ont été encore meilleures, passant de 29 à 13 jours. C'est un progrès, mais des améliorations sont possibles. Le rapport note que "11 jours pour corriger les vulnérabilités critiques est encore un délai assez long".
Complexité accrue
Selon le rapport, il est de plus en plus difficile pour les criminels d'identifier et d'exploiter les vulnérabilités critiques. Ils doivent recourir à des techniques telles que les attaques en chaîne, dans lesquelles l'exploitation d'une vulnérabilité critique n'est possible qu'après avoir réussi à violer une vulnérabilité non critique.
De nombreuses vulnérabilités ont été rétrogradées de risque élevé à critique ou moyen à moyen risque en 2013. Il s'agit en particulier d'exploitations qui ne peuvent être exécutées qu'une fois l'attaquant authentifié ou connecté. Le rapport indique que les développeurs doivent réfléchir à la sécurité, même dans des domaines uniquement. accessible aux utilisateurs de confiance, car certaines de ces parties de confiance "peuvent en fait être assez hostiles".
Les développeurs internes doivent accorder une attention particulière à la sécurité. Les attaques par injection SQL et Cross-Site Scripting sont les attaques les plus courantes, et les applications internes en sont les victimes les plus courantes (40%). Les plugins Content Management System (CMS) viennent ensuite, avec 30%, suivis des petits CMS avec 25%. Les brèches dans les très grands CMS comme Joomla et WordPress sont une grande nouvelle, mais selon HTB, ils ne représentent que 5% du total. De nombreuses plates-formes de blogs et de systèmes de gestion de blogs restent vulnérables simplement parce que leurs propriétaires ne parviennent pas à les conserver entièrement corrigées ou à les configurer correctement.
Alors, comment évitez-vous de compromettre votre site Web ou votre CMS? Le rapport conclut que vous avez besoin de "tests hybrides lorsque les tests automatisés sont combinés à des tests de sécurité manuels réalisés par un humain". Il n’est pas surprenant d’apprendre que High Tech Bridge offre exactement ce type de test. Mais ils ont raison. Pour une réelle sécurité, vous voulez que les bons attaquent et vous montrent ce que vous devez réparer.
