Les
quatre lois sur les vulnérabilités selon Qualys
L'éditeur spécialisé dans la lutte contre les vulnérabilités des systèmes a étudié plus d'un million de failles ces 18 derniers mois. Il en dégage quatre lois fondamentales. (Lundi
20 octobre 2003)
Ayant procédé
à une étude massive sur une base de données
de plus d'un million de vulnérabilités recencées
depuis 18 mois, le vice-Président technique de
Qualys - Gerhard Eschelbeck - vient de présenter
ses résultats devant une commission technologique
du Congrès américain.
Au programme, quatre grandes lois ont été
exposées : la demi-vie des vulnérabilités
est de 30 jours, le taux de renouvellement annuel des
failles est de 50%, certaines d'entre elles sont même
immortelles et la disponibilité des exploits
(les codes permettant d'exploiter les failles) est assurée
en 60 jours pour 80% des vulnérabilités.
Une
demi-vie qui en dit long sur les difficultés rencontrées "La demi-vie
des failles les plus critiques est de 30 jours, elle double
pour les failles dont le degré de sévérité
est moindre. Cela signifie qu'il faut un mois pour éradiquer
les vulnérabilités les plus dangereuses
sur 50% des systèmes", déclare Gerhard
Eschelbeck. Cette constatation met en exergue les difficultés
rencontrées par les administrateurs réseaux
à dégager du temps pour la mise en place
des patches, à identifier les systèmes concernés
et surtout à discerner quelles vulnérabilités
sont les plus sévères. Sans oublier la peur
de déstabiliser l'architecture en place par l'ajout
d'un patch.
"Les systèmes d'alertes sont aujourd'hui devenus
incontournables, ils permettent d'y voir clair dans la
masse d'informations quotidiennes. Sur 20 à 25
nouvelles failles par semaine, seules deux ou trois sont
à prendre véritablement en considération.
Qui plus est, mon message est de dire aux administrateurs
qu'il vaut mieux provoquer une instabilité passagère
sur leurs systèmes plutôt que de laisser
béante une faille exploitable, et donc de risquer
un sinistre grave", ajoute Gerhard Eschelbeck.
Autres
lois et troisième génération de menaces Parmi les autres
lois exposées dans le cadre de cette étude
: le fait que la moitié des failles les plus diffusées
et critiques sont remplacées - à hauteur
de 50% - tous les ans par d'autres failles tout aussi
critiques. Ensuite, que la durée de vie de certaines
vulnérabilités est infinie, en raison principalement
du déploiement de PC et de serveurs reposant sur
une base logicielle non patchée... Enfin, que la
disponibilité des codes d'exploitation est aujourd'hui
de 60 jours, pour 80% des failles.
Au delà de ces résultats statistiques, Gerhard
Eschelbeck pointe du doigt le fait que les menaces appartiennent
désormais à une nouvelle génération,
la troisième. Une de ses caractéristiques
est que les attaques sont préparées, à
la fois par un recensement préalable des systèmes
vulnérables mais aussi par une programmation des
cibles à atteindre une fois les premiers contreforts
des défenses adverses pris d'assaut. Ce fut le
cas du site de Microsoft, victime désignée
du ver Blaster en août dernier, qui n'en réchappa
qu'en se "sabordant" quelques heures pour esquiver
l'attaque.
La troisième génération
est aussi marquée par l'emploi de multiples vecteurs
de propagation, comme les messageries instantanées,
les réseaux sans fil et les systèmes utilisant
la voix sur IP. Enfin, ce type d'attaques se caractérise
par une propension à pénétrer le
coeur des systèmes, alors que seule la sphère
extérieure des architectures était jusqu'à
présent touchée. "Seul un dispositif
automatisé et continu d'élimination des
vulnérabilités peut permettre de protéger
les réseaux nationaux efficacement", conclut
Gerhard Eschelbeck.