18/10/01
Les
failles informatiques en augmentation de 100% par an,
selon le CERT/CC
Le
CERT Coordination Center (Cert/CC), vient de publier
ses statistiques
1988-2001 sur les incidents et les vulnérabilités
qui lui ont été reportées au cours
de cette période. Le nombre d'incidents spontanément
communiqués au CERT/CC serait ainsi passé
de 3 754 en 1998 (seulement 6 dix ans plus
tôt) à 21 756 en 2000, et aurait atteint
le chiffre record de 34 754 au cours des neuf premiers
mois de cette année. En parallèle, le
nombre de vulnérabilités repérées
dans les grands OS et logiciels suivrait sensiblement
la même tendance. 262 cas auraient été
reportés en 1998, 1 090 en 2000 et 1 820
cette année. Des chiffres d'autant plus préoccupants,
qu'ils ne sont pas commentés ni justifiés
par l'organisme semi-gouvernemental américain
quant à la méthodologie qui a permis de
les produire. De quoi être doublement inquiet
pour les années qui viennent...
Des
chiffres à manier avec précaution...
Si l'on veut comprendre les enjeux que sous-tendent
les chiffres publiés par le CERT/CC, une petite
mise au point terminologique ainsi qu'un bref retour
en arrière sur l'organisme s'imposent. Le CERT/CC
a été créé en 1988 à
l'initiative de DARPA (Defense Advanced Research Project
Agency), émanation directe du Ministère
de la Défense américain,
hébergée par la Carnegie Mellon University.
Ses subventions lui viennent à la fois du gouvernement
américain et de fonds privés - éditeurs
et constructeurs américains -, à qui il
rapporte régulièrement les failles informatiques
qui lui sont signalées. Puis, il rend publiques
après un délai de 30 à 45 jours
selon les cas.
Deux types de rapports sont produits par le CERT/CC.
Les "incidents" constituent l'ensemble des
problèmes (attaques, virus, bugs, etc.) qui lui
sont signalés de façon spontanée
par n'importe quel membre de la communauté informatique.
Les "vulnérabilités", quant
à elles, concernent plus spécialement
les systèmes d'exploitation et les applications
logicielles (Microsoft
IIS ou
Internet
Explorer 5 récemment). Elles sont en général
remontées au CERT/CC par les éditeurs
eux-mêmes ou certains de leurs clients. Lorqu'elles
sont publiées, elles sont accompagnées
de patchs fournis par les constructeurs.
Des causes potentielles multiples
En examinant plus en détail les chiffres qui
sont fournis dans ce rapport statistique, un élément
frappe. Si la hausse des deux catégories ci-dessus
est à peu près constante entre 1990 (252)
et 1998 (3 754) pour les incidents, et 1995 (171)
et 1998 (262) pour les vulnérabilités,
à partir de 1999 les chiffres s'envolent, avec
des augmentations de presque 100 % par an. Comment
expliquer ce phénomème ? Pour essayer
d'en savoir plus, nous avons contacté le CERT-IST,
l'un des trois organismes français avec le CERTA
et le CERT-Renater (qui s'occupent respectivement des
communautés de l'enseignement et de l'administration).
Celui-ci gère pour sa part les alertes pour le
compte de grandes entreprises nationales. De notre entretien,
aucune certitude, mais un faisceau de causes possibles
:
La multiplication des "script kiddies".
Il est en effet devenu facile à un néophyte
de trouver aujourd'hui des programmes d'attaques sur
le Web et de les utiliser sans savoir comment il ont
été conçus par des hackers, eux,
tout à fait rôdés à la programmation.
La volonté de certains éditeurs, notamment
dans le monde Unix, d'offrir une large palette de fonctions
et une ergonomie évolutive, et pour ce faire,
d'ouvrir assez largement leur code. Conséquence
perverse : cette ouverture profite également
aux utilisateurs malintentionnés.
La nécessité de mettre toujours plus
rapidement sur le marché des applications
ou des OS qui n'ont pas été dûment
testés et vérifiés. Résultat,
là ou les correctifs auraient du être faits
en amont pour les éditeurs, il sont faits en
aval sous la forme d'un "patch"...
Dernière explication enfin, les utilisateurs
sont peut-être plus sensibles désormais
aux failles et les reportent en tout cas plus fréquemment
au CERT/CC. Une chose est certaine, les éditeurs
d'anti-virus et les différents organismes de
sécurité, publics ou privés, ont
du pain sur la planche, car aucun éditeur ne
peut aujourd'hui se targuer d'échapper aux vulnérabilités
et aux incidents.
|