Inaugurée en novembre dernier, la nouvelle formule du Top 20 des cibles d'attaques privilégiées, éditée par le SANS Institute (SysAdmin, Audit, Network, Security), a été actualisée. Indicateur des tendances en termes de menace, la dernière édition illustre la très forte croissance des failles zéro-jour (ou zero-day) en 2006.
Le classement s'enrichit ainsi d'une nouvelle rubrique dédiée à ces vulnérabilités hautement critiques.
L'évolution des menaces au cours des derniers mois confirmait la prééminence des attaques ciblées sur le client, la plupart du temps en s'appuyant sur des failles zéro-jour. Le rapport du SANS Institute vient également étayer ce constat, précisant l'identité des principales victimes.
Et sans grande surprise, compte tenu de leur omniprésence sur le marché, ce sont les produits Microsoft qui font les premiers les frais des attaques. Affectée par des zero-day depuis le mois de mai, la suite bureautique Office occupe donc une place centrale dans ce Top 20. Ces derniers mois ont en effet vu naître de multiples failles, aussi bien dans Excel que dans Powerpoint ou Word.
Sur les 20 failles zéro-jour listées dans le rapport, seules 4 ne concernent pas Microsoft. 5 sont relatives à Office, les autres touchant essentiellement Internet Explorer. Le navigateur, malgré ses quelques parts de marché récemment abandonnées à Firefox, reste largement dominant et, de fait, prioritairement scruté par les pirates. Ces derniers peuvent compter pour débusquer les vulnérabilités sur les outils de fuzzing (lire l'article du 27/07/2006).
16 des 20 failles les plus critiques affectent des produits Microsoft |
Toutefois, l'OS de Microsoft n'est pas le seul à avoir connu plusieurs alertes sérieuses cette année. En effet, Mac OS figure à deux reprises dans le classement des vulnérabilités zero-day, tout comme le navigateur d'Apple, Safari. Ces dernières n'ont cependant pas fait l'objet d'exploitation. Quant à Linux, aucun exploit critique n'a été rapporté en 2006.
La hausse des failles dans les applications Web est une autre des tendances relevées par le SANS Institute. Wikis, Content Management Systems (CMS), portails, forums de discussion se sont, il est vrai, développés dans les entreprises. Les attaques contre ces services ont donc tout naturellement suivi une courbe ascendante.
Afin de contribuer à renforcer la sécurité, le SANS s'est associé avec un fournisseur de solutions de gestion des vulnérabilités et de mise en conformité, Qualys. Celui-ci propose désormais un service d'audit gratuit détectant, sur un réseau, les failles mentionnées dans la liste annuelle SANS Top 20.
|