Vidéo: Logiciels espions : êtes-vous surveillés sans le savoir ? (Novembre 2024)
Le deuxième mardi de chaque mois, "Patch Tuesday", Microsoft propose des correctifs pour corriger les bogues et les failles de sécurité dans Windows et les applications Microsoft. La plupart du temps, les problèmes traités incluent de graves failles de sécurité, des erreurs de programmation qui pourraient permettre aux pirates de pénétrer dans la sécurité du réseau, de voler des informations ou d’exécuter du code arbitraire. Adobe, Oracle et d’autres fournisseurs ont leur propre programme de correctifs. Une nouvelle étude alarmante réalisée par NSS Labs suggère qu'en moyenne, les pirates informatiques disposent d'un accès illimité pendant environ cinq mois à ces failles de sécurité entre la découverte initiale et la correction. Pire, des marchés spécialisés existent pour vendre les vulnérabilités récemment découvertes.
M. Stefan Frei, directeur de recherche chez NSS Labs, a supervisé une étude qui portait sur dix ans de données issues de deux grands "programmes d'achat de vulnérabilités". Le rapport de Frei souligne que tous les chiffres obtenus sont des minimums; Il y a clairement beaucoup d'autres choses dont ils ne sont tout simplement pas au courant. D'après leurs connaissances, le marché des informations sur les exploits s'est considérablement développé ces dernières années. Il y a dix ans, les deux sociétés étudiées ne présentaient qu'une poignée de vulnérabilités non révélées chaque jour. Au cours des dernières années, ce nombre a dépassé les 150, dont plus de 50 concernent les cinq principaux fournisseurs: Microsoft, Apple, Oracle, Sun et Adobe.
Exploits à vendre, pas cher
Stuxnet et d'autres attaques au niveau des États-nations reposent sur de multiples failles de sécurité non divulguées pour pénétrer la sécurité. Il est supposé que leurs créateurs rapportent d’énormes dividendes pour obtenir un accès exclusif à ces vulnérabilités de type «jour zéro». La NSA a budgétisé 25 millions USD pour l'achat d'exploit en 2013. L'étude de Frei a révélé que les prix sont maintenant beaucoup plus bas; encore élevé, mais à la portée des organisations de cyber-criminels.
Frei cite un article du New York Times qui a examiné quatre fournisseurs d’exploitation d’ateliers. Leur prix moyen pour la connaissance d'une vulnérabilité non encore divulguée allait de 40 000 à 160 000 $. Sur la base des informations obtenues auprès de ces fournisseurs, il conclut qu'ils peuvent livrer au moins 100 exploits exclusifs par an.
Les vendeurs se défendent
Certains éditeurs de logiciels proposent des primes pour les bogues, créant ainsi une sorte de programme de recherche participatif. Un chercheur qui découvre une faille de sécurité auparavant inconnue peut obtenir une récompense légitime directement du fournisseur. C'est sûrement plus sûr que de traiter avec des cyber-escrocs, ou avec ceux qui vendent à des cyber-escrocs.
Les primes typiques contre les insectes vont de centaines à des milliers de dollars. Le programme «Microsoft Boundary Bounty Bounty» de Microsoft (Microsoft) verse 100 000 dollars, mais il ne s’agit pas simplement d’une prime aux bogues. Pour le gagner, un chercheur doit découvrir une "technique d’exploitation réellement nouvelle" qui peut renverser la dernière version de Windows.
Vous avez été piraté
Les primes de bogues sont bien, mais il y aura toujours ceux qui vont chercher la plus grosse récompense offerte par les fournisseurs d’exploitation et les cyber-criminels. Le rapport conclut que toute entreprise ou grande entreprise devrait présumer que son réseau a déjà été piraté. Il est difficile de bloquer ou même de détecter une attaque zéro jour, aussi l'équipe de sécurité doit-elle se préparer au pire avec un plan de réponse aux incidents bien défini.
Qu'en est-il des petites entreprises et des réseaux personnels? Le rapport n'en parle pas, mais je suppose qu'une personne qui a payé 40 000 $ ou plus pour avoir accès à un exploit le ferait viser la cible la plus grande possible.
Vous pouvez lire le rapport complet sur le site Web de NSS Labs.
