Les failles informatiques en augmentation de 100% par an, selon le CERT/CC

Le CERT Coordination Center (Cert/CC), vient de publier ses statistiques 1988-2001 sur les incidents et les vulnérabilités qui lui ont été reportées au cours de cette période. Le nombre d'incidents spontanément communiqués au CERT/CC serait ainsi passé de 3 754 en 1998 (seulement 6 dix ans plus tôt) à 21 756 en 2000, et aurait atteint le chiffre record de 34 754 au cours des neuf premiers mois de cette année. En parallèle, le nombre de vulnérabilités repérées dans les grands OS et logiciels suivrait sensiblement la même tendance. 262 cas auraient été reportés en 1998, 1 090 en 2000 et 1 820 cette année. Des chiffres d'autant plus préoccupants, qu'ils ne sont pas commentés ni justifiés par l'organisme semi-gouvernemental américain quant à la méthodologie qui a permis de les produire. De quoi être doublement inquiet pour les années qui viennent...

Des chiffres à manier avec précaution...
Si l'on veut comprendre les enjeux que sous-tendent les chiffres publiés par le CERT/CC, une petite mise au point terminologique ainsi qu'un bref retour en arrière sur l'organisme s'imposent. Le CERT/CC a été créé en 1988 à l'initiative de DARPA (Defense Advanced Research Project Agency), émanation directe du Ministère de la Défense américain, hébergée par la Carnegie Mellon University. Ses subventions lui viennent à la fois du gouvernement américain et de fonds privés - éditeurs et constructeurs américains -, à qui il rapporte régulièrement les failles informatiques qui lui sont signalées. Puis, il rend publiques après un délai de 30 à 45 jours selon les cas.

Deux types de rapports sont produits par le CERT/CC. Les "incidents" constituent l'ensemble des problèmes (attaques, virus, bugs, etc.) qui lui sont signalés de façon spontanée par n'importe quel membre de la communauté informatique. Les "vulnérabilités", quant à elles, concernent plus spécialement les systèmes d'exploitation et les applications logicielles (Microsoft IIS ou Internet Explorer 5 récemment). Elles sont en général remontées au CERT/CC par les éditeurs eux-mêmes ou certains de leurs clients. Lorqu'elles sont publiées, elles sont accompagnées de patchs fournis par les constructeurs.

Des causes potentielles multiples
En examinant plus en détail les chiffres qui sont fournis dans ce rapport statistique, un élément frappe. Si la hausse des deux catégories ci-dessus est à peu près constante entre 1990 (252) et 1998 (3 754) pour les incidents, et 1995 (171) et 1998 (262) pour les vulnérabilités, à partir de 1999 les chiffres s'envolent, avec des augmentations de presque 100 % par an. Comment expliquer ce phénomème ? Pour essayer d'en savoir plus, nous avons contacté le CERT-IST, l'un des trois organismes français avec le CERTA et le CERT-Renater (qui s'occupent respectivement des communautés de l'enseignement et de l'administration). Celui-ci gère pour sa part les alertes pour le compte de grandes entreprises nationales. De notre entretien, aucune certitude, mais un faisceau de causes possibles :

La multiplication des "script kiddies". Il est en effet devenu facile à un néophyte de trouver aujourd'hui des programmes d'attaques sur le Web et de les utiliser sans savoir comment il ont été conçus par des hackers, eux, tout à fait rôdés à la programmation.

La volonté de certains éditeurs, notamment dans le monde Unix, d'offrir une large palette de fonctions et une ergonomie évolutive, et pour ce faire, d'ouvrir assez largement leur code. Conséquence perverse : cette ouverture profite également aux utilisateurs malintentionnés.

La nécessité de mettre toujours plus rapidement sur le marché des applications ou des OS qui n'ont pas été dûment testés et vérifiés. Résultat, là ou les correctifs auraient du être faits en amont pour les éditeurs, il sont faits en aval sous la forme d'un "patch"...

Dernière explication enfin, les utilisateurs sont peut-être plus sensibles désormais aux failles et les reportent en tout cas plus fréquemment au CERT/CC. Une chose est certaine, les éditeurs d'anti-virus et les différents organismes de sécurité, publics ou privés, ont du pain sur la planche, car aucun éditeur ne peut aujourd'hui se targuer d'échapper aux vulnérabilités et aux incidents.