Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La course aux correctifs de sécurité

La course aux correctifs de sécurité
2008-05-282013-02-11nouvelles technologiesfr
Alors que j'écrivais sur la sécurité des logiciels OpenSource, je suis retombé sur le site de TippingPointOn y trouve la liste des vulnérabilités, découvertes dans le cadre du "projet" TippingPoint, Zero Day Initiative, pour lesquelles aucun correctif officiel n'est encore...
Publié le 28 Mai 2008 par Christophe Roland dans nouvelles technologies

Alors que j'écrivais sur la sécurité des logiciels OpenSource, je suis retombé sur le site de TippingPoint
On y trouve la liste des vulnérabilités, découvertes dans le cadre du "projet" TippingPoint, Zero Day Initiative, pour lesquelles aucun correctif officiel n'est encore paru. TippingPoint ne manque pas de rappeler au passage que les clients de son IPS sont bien évidemment protégés contre ces failles.

Il est toutefois frappant de trouver des vulnérabilités datant de plus de 400 jours avec un niveau de criticité jugé élevé associées à des grands noms tels que Microsoft, HP, Oracle... Ces failles peuvent être exploitées dans le but d'exécuter du code à distance par exemple et compromettre grandement la sécurité du système vulnérable.

On peut alors se demander qui des logiciels proprétaires ou des logiciels OpenSource sont les plus réactifs à corriger de telles failles de sécurité. Au jour d'aujourd'hui, où il existe un réel marché des vulnérabilités (exemple de TippingPoint toujours, en anglais dans le texte : "As a researcher discovers and provides additional vulnerability research, bonuses and rewards can increase through a loyalty program similar to a frequent flier miles program."), l'argument commercial d'un éditeur de solutions de sécurité comme un IPS est bien de démontrer sa capacité à protéger ses clients là où les logiciels défaillants n'ont pas encore trouvé de parades. Personnellement, j'aime bien l'idée de la carte de fidélité. Qu'en est il en revanche des anciennes vulnérabilités pour lesquelles un correctif existe depuis longtemps mais n'aurait pas été appliqué par le client? Sont elles encore dans les bases de signature, ...? Autrement dit, les solutions actuelles sont elles à même de les détecter? Le risque le plus élevé n'est peut être pas là où on le croit.

1 Commentaire

  • 29 Mai 2008
    2008-05-29
    par
    Audenard Jean-François
    ...."Des vulnérabilités datant de plus de 400 jours avec un niveau de criticité jugé élevé".... Effectivement, il y a de la marge pour progresser. :-)
    Pourquoi ? L'une des raisons c'est que les entreprises (les seules qui peuvent avoir un certain poids vis-à-vis des éditeurs) ne mettent pas assez la pression sur leurs fournisseurs pour qu'ils corrigent ces failles dans des délais corrects.
    Combien de contrats ou accords commerciaux intègrent des conditions relatives au niveau de sécurité et aux services attenants ? Très très très peu ou du moins pas assez. Si pas d'espèces "sonnantes et trébuchantes" la motivation n'est pas au rendez-vous... Grand classique n'est pas. :-)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage