IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un pour cent des bugs signalés sont exploités, Silverlight et Apache de plus en plus visés par les pirates


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 482
    Points : 78 529
    Points
    78 529
    Billets dans le blog
    2
    Par défaut Un pour cent des bugs signalés sont exploités, Silverlight et Apache de plus en plus visés par les pirates
    Un pour cent des bugs signalés sont exploités, Silverlight et Apache de plus en plus visés par les pirates, selon le rapport annuel de sécurité de Cisco

    Le dernier rapport annuel de sécurité de Cisco a révélé de nouvelles tendances sur l'exploitation des failles dans les logiciels couramment utilisés dans les entreprises. Cisco retient que les utilisateurs, les chefs de sécurité (CSO) et les équipes de sécurité ont tous une part de responsabilité importante dans l'exposition de l'entreprise. Il souligne aussi qu'il y a encore beaucoup de logiciels non patchés, de nouvelles tactiques sont utilisées par les attaquants pour répondre aux mesures de protection de leurs cibles.

    L'entreprise note également que les logiciels malveillants porteurs de spams ont augmenté jusqu'à 250% entre Janvier et Novembre 2014, et beaucoup plus de messages se glissaient à travers les filtres. Plutôt que de se laisser rapidement prendre par des filtres de spam et autres, les attaquants sélectionnent un grand nombre d'hôtes compromis qui envoient que de faibles volumes de spam sur une base par hôte.

    En ce qui concerne les logiciels vecteurs d'attaques, les pirates ont de moins en moins exploité les failles de sécurité dans Java au cours de l'année 2014 - une seule vulnérabilité Java fait partie du Top 10 des vecteurs d'attaque de la liste de Cisco.
    L'exploitation de Java a été en baisse grâce à de meilleurs correctifs de sécurité automatiques sur les versions modernes de Java, mais aussi au fait que les attaquants ont essayé de nouvelles choses, selon Cisco.

    Les bugs de Heartbleed et Shellshock ont été les plus exploités de la liste de Cisco. Flash et Internet Explorer sont aussi des cibles populaires, mais il y a un intérêt croissant pour Apache Struts Framework, et les attaques de Silverlight ont augmenté de 200% sur l'année, selon le rapport.

    Cisco a aussi fait remarquer que seulement 1% des bugs signalés ont été exploités.

    Interrogé par un média pour obtenir des explications sur ces chiffres, Anthony Stitt de Cisco a mis en avant la responsabilité des personnes et des navigateurs dans l'exposition de l'entreprise aux menaces cybernétiques.

    Stitt a mis en évidence un « écart entre le niveau de confort entre les chefs de sécurité et les équipes de sécurité au sujet de leur niveau de protection, » a-t-il dit. Selon lui, les CSO sont sujets à l'excès de confiance, ce qui implique qu'il y a un déficit d'information entre le patron et le l'équipe. Il devrait y avoir plus de transparence entre l'équipe et le CSO au sujet de leur sécurité opérationnelle.

    Il soulève aussi la question des navigateurs non patchés. Environ 64% de l'activité de navigation observée par Cisco sur Chrome est venue de navigateurs patchés, alors que de l'autre extrémité de l'échelle, seulement 10% de la navigation sur IE est venue de navigateurs patchés. « Donc, dans 90% des transactions d'IE, il y aurait un certain niveau d'insécurité », a-t-il dit.

    Il pense cependant que l'éternel problème en entreprise est l'utilisateur qui a tendance à cliquer sur les liens sur lesquels il ne devrait pas cliquer. Même si la sensibilisation est nécessaire, Stitt pense qu'elle n'est pas une solution complète. Etant donné que seulement 1% des bugs signalés sont exploités, il suggère aux équipes de sécurité d’ « aller vers les experts en sécurité pour voir lesquelles des vulnérabilités sont exploitées » et les corriger en priorité.

    Source : Rapport annuel de sécurité de Cisco

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2007
    Messages
    1 118
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2007
    Messages : 1 118
    Points : 4 331
    Points
    4 331
    Par défaut
    les attaques de Silverlight ont augmenté de 200% sur l'année, selon le rapport.
    S'il y avait 1 attaque et que c'est passé à 3, ça fait +200%. Les %, on peut leur faire dire n'importe. On ne peut pas savoir combien d'attaques ? Ça aiderait à ce faire une idée des faits. Là c'est juste abstrait pour moi.

  3. #3
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    décembre 2011
    Messages
    1 309
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : décembre 2011
    Messages : 1 309
    Points : 3 639
    Points
    3 639
    Billets dans le blog
    12
    Par défaut
    Je pense que les Silverlight subit le même sort que pour les Applet en Java.
    A lire le titre de l'article on croirait que c'est le serveur HTTP Apache qui est affecté, alors qu'il ne s'agit que du vieux framework Struts. Je pari que les pirates exploitent les failles dont cet article fait référence.
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

Discussions similaires

  1. Réponses: 6
    Dernier message: 11/02/2011, 12h27
  2. Réponses: 4
    Dernier message: 17/07/2009, 10h59
  3. Quels classes utiliser pour remplacer des classes qui sont propriété de Sun
    Par danyboy85 dans le forum API standards et tierces
    Réponses: 3
    Dernier message: 21/11/2007, 16h36
  4. Quels sont les meilleurs outils pour créer des Web Services?
    Par Flipmode dans le forum EDI et Outils pour Java
    Réponses: 3
    Dernier message: 01/06/2007, 16h18
  5. Réponses: 11
    Dernier message: 04/01/2006, 23h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo