Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Bientôt 45 000 vulnérabilités rendues publiques

Bientôt 45 000 vulnérabilités rendues publiques
2010-09-102013-02-11bonnes pratiquesfr
Les vulnérabilités, c'est un peu comme le café ou le chocolat au lait et les tartines : C'est la ration quotidienne des responsables sécurité et des administrateurs réseau. Mais qui comptabilise ces faiblesses qui font le bonheur des cybercriminels...
Publié le 10 Septembre 2010 par Vincent Maurin dans bonnes pratiques

Près de 13 vulnérabilités rendues publiques chaque jour ! C'est ce que publie « MITRE Corporation », l'organisation américaine soutenue par le Département de la Sécurité intérieure des Etats-Unis. Plus connues des professionnels de la sécurité sous le terme CVE Common Vulnerabilities and Exposures »), ces informations publiques relatives aux vulnérabilités en terme de sécurité rythment depuis longtemps le planning de nombreux Responsables Sécurité en entreprise.

Voici plus de 10 ans que suite à la découverte d'une vulnérabilité, ou exposition potentielle à celle-ci, les ingénieurs de MITRE attribuent ces identifiants qui font trembler les équipes de développeurs et mettent en alerte les services informatiques du monde entier.

Classés par catégories et par sévérité, chaque CVE regroupe bien souvent en un titre : jargon du développeur et effets dévastateurs potentiels, n'offrant qu'en dernier mot un éventuel espoir d'y échapper. A titre d'exemple, voici les trois premiers CVE publiés :

CVE-1999-0001 : ip_input.c in BSD-derived TCP/IP implementations allows remote attackers to cause a denial of service (crash or hang) via crafted packets
CVE-1999-0002 : Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems
CVE-1999-0003 : Execute commands as root via buffer overflow in Tooltalk database server (rpc.ttdbserverd)

La « National Cyber Security Division » du Département de la Sécurité intérieure met à disposition du public toutes les données présentes dans ses bases et notamment les identifiants CVE. Une consolidation de ces données nous permet alors de constater que malgré une volumétrie annuelle multipliée par 6 en dix ans, la tendance est à une certaine stabilité, tout comme la répartition par sévérité.

Les chiffres projetés sur une moyenne hebdomadaire laissent alors apparaitre toute la difficulté face à laquelle sont confrontés les RSI et leurs équipes.

Plus de 100 CVE publiés chaque semaine si nous nous contentons de suivre les seules publications de MITRE. La « National Vulnerability Database » réunit en effet les vulnérabilités CVE mais également les alertes et notes du CERT-US.

CVE Statistiques Hebdomadaires

Une compilation des données avec regroupement par catégorie, restreinte au TOP 5 - qui représente près de 26% des vulnérabilités - nous renvoie aux standards connus. La croissance du parc des systèmes et applications en ligne depuis quelques années favorise la découverte de problèmes liés aux injections SQL et de Cross-Side Scripting notamment.

CVE Statistiques Categories
Reflet immédiat de nos erreurs de conception, de programmation, d'administration, ces publications viennent, 13 fois par jour, compléter la longue liste des alertes lues par les professionnels de la sécurité informatique. Une longue liste enrichie par les blogs, les lettres d'informations, les annonces des éditeurs, celles des constructeurs et bien entendu les échos recueillis ci ou là par des collègues dans la presse....

A ce rythme, la barre des 45.000 publications sera sans doute franchie avant la fin de l'année 2010. Je ne saurai que donc que trop conseiller à nos lecteurs de porter un regard attentif au travail que font les équipes de MITRE au quotidien. Analysez leurs publications, comparez les composants concernés avec votre parc installé ou hébergé et mettez en œuvre les actions correctives qui s'imposent.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage