La course aux correctifs de sécurité

Partager

Alors que j'écrivais sur la sécurité des logiciels OpenSource, je suis retombé sur le site de TippingPoint
On y trouve la liste des vulnérabilités, découvertes dans le cadre du "projet" TippingPoint, Zero Day Initiative, pour lesquelles aucun correctif officiel n'est encore paru. TippingPoint ne manque pas de rappeler au passage que les clients de son IPS sont bien évidemment protégés contre ces failles.

Il est toutefois frappant de trouver des vulnérabilités datant de plus de 400 jours avec un niveau de criticité jugé élevé associées à des grands noms tels que Microsoft, HP, Oracle... Ces failles peuvent être exploitées dans le but d'exécuter du code à distance par exemple et compromettre grandement la sécurité du système vulnérable.

On peut alors se demander qui des logiciels proprétaires ou des logiciels OpenSource sont les plus réactifs à corriger de telles failles de sécurité. Au jour d'aujourd'hui, où il existe un réel marché des vulnérabilités (exemple de TippingPoint toujours, en anglais dans le texte : "As a researcher discovers and provides additional vulnerability research, bonuses and rewards can increase through a loyalty program similar to a frequent flier miles program."), l'argument commercial d'un éditeur de solutions de sécurité comme un IPS est bien de démontrer sa capacité à protéger ses clients là où les logiciels défaillants n'ont pas encore trouvé de parades. Personnellement, j'aime bien l'idée de la carte de fidélité. Qu'en est il en revanche des anciennes vulnérabilités pour lesquelles un correctif existe depuis longtemps mais n'aurait pas été appliqué par le client? Sont elles encore dans les bases de signature, ...? Autrement dit, les solutions actuelles sont elles à même de les détecter? Le risque le plus élevé n'est peut être pas là où on le croit.

Nicolas Jacquey
Christophe Roland

Edit de l'équipe Orange Business Services : Christophe a quitté le groupe Orange depuis ses derniers articles