Discussion :

[Katleen Erna]

Les éditeurs patchent plus rapidement leurs OS que leurs applications, bien que la majorité des attaques actuelles ciblent ces dernières

Les entreprises semblent être beaucoup plus lentes à patcher leurs applications que leurs systèmes d'exploitation, et ce, bien que les attaquants ciblent volontiers les vulnérabilités dans les applications -d'après le dernier rapport de l'institut SANS-.

Ce rapport, intitulé "Le Top des Risques en CyberSécurité", se base sur des données collectées entre mars et août par une collaboration entre SANS, TippingPoint et Qualys. Ensemble, ils ont analysé six mois de données relatives aux attaques en ligne reçues de plus de 6000 organisations utilisant l'outil de prévention des intrusions TippingPoint, ainsi que des informations liées à plus de 100 millions de scans de vulnérabilités réalisés sur 9 millions de systèmes utilisant le service d'évaluation de vulnérabilité de Qualys.

Toujours selon le rapport, 80 % des vulnérabilités des systèmes Windows sont patchées en moins de 60 jours pour seulement 40 % des applications, dont Office et Adobe. Pourtant, la majorité des attaques sont dirigées contre les applications, surtout celles étant client-side (celles-ci étant désignées comme la priorité numéro 1 par l'étude).

Sur la période de six mois, plus de 60 % de toutes les attaques observées par TippingPoint ciblaient des applications web dans le but de transformer des sites dignes de confiance en réservoirs de malwares et de codes malicieux, comme les très répandues injections SQL.

Parmi les failles les plus exploitées, on trouve également l'Apple QuickTime Image File download (CVE-20009-0007), les Text Converter Remote Code Execution Vulnerability sur WordPad et Office (MS09-010), et une longue liste de vulnérabilités Sun et Java.

Quant aux "zero-day" -lorsqu'un code exploit apparaît juste après la découverte d'une faille dans le code d'un programme, et avant que celle-ci soit patchée- elles sont le plus populaires dans les attaques visant une personne ou entreprise particulière.

Durant les six mois étudiés, les zero-days les plus remarquables furent :

* Adobe Acrobat & Flash Player Remote Code Execution Vulnerability (CVE-2009-1862
* Microsoft Office Web Components, Active X Control Code Execution Vulnerability (CVE-2009-1136)
* Microsoft Active Template Library Header data Remote Code Execution Vulnerability (CVE-2008-0015)
* Microsoft Direct X DirectShow QuickTime Video Remote Code Execution Vulnerability (CVE-2008-0015)
* Adobe Reader Remote Code Execution Vulnerability (CVE-2009-1493)
* Microsoft PowerPoint Remote Code Execution Vulnerability (CVE-2009-0556)

En guise de conclusion, le rapport signale qu'il est aujourd'hui plus facile d'appréhender des attaques de type "zero-day" en résultat direct d'une augmentation générale du nombre des personnes ayant des aptitudes pour découvrir les vulnérabilités dans le monde entier.

Source : "The Top Cyber Security Risks"

Lire aussi :
- Microsoft ne patchera pas sa faille IIS/FTP dans sa prochaine mise à jour de sécurité
- Les risques et les menaces les plus dangereuses étudiées et dévoilées dans un rapport de 114 pages

[Franck SORIANO]

Toujours selon le rapport, 80 % des vulnérablités des systèmes Windows sont patchées en moins de 60 jours pour seulement 40 % des applications, dont Office et Adobe. Pourtant, la majorité des attaques sont dirigées contre les applications, surtout celles étant client-side (celles-ci étant désignées comme la priorité numéro 1 par l'étude).

Il faut comprendre quoi ? Que Microsoft met 60 jours pour sortir un correctif pour 80% des vulnérabilités de Windows, mais ne corrige que 40% de celles de ces applis (Office par exemple) dans le même laps de temps ?
Ou que lorsqu'un correctif est disponible, les entreprises mettent 60 jours pour installer 80% des correctifs Windows, et 40% des autres correctifs ?

Parce que j'ai l'impression que le titre "Les éditeurs patchent plus rapidement leurs OS que leurs applications" est mensongé ! On ne parle pas des éditeurs qui publient les logiciels, mais bel et bien des entreprises qui les utilisent.