SECURITE 
Sommaire Sécurité
Les failles zéro-jour frappent massivement Microsoft
Internet Explorer et Office restent les logiciels les plus visés par des attaques en 2006, selon le SANS Institute. L'institut révèle également la forte croissance des failles zéro-jour et des exploits contre les applications Web.  (17/11/2006)
  En savoir plus
 Outils bureautiques sous le feu des attaques
Enquête Nouvelles menaces
Dossier Failles
Inaugurée en novembre dernier, la nouvelle formule du Top 20 des cibles d'attaques privilégiées, éditée par le SANS Institute (SysAdmin, Audit, Network, Security), a été actualisée. Indicateur des tendances en termes de menace, la dernière édition illustre la très forte croissance des failles zéro-jour (ou zero-day) en 2006. Le classement s'enrichit ainsi d'une nouvelle rubrique dédiée à ces vulnérabilités hautement critiques.

L'évolution des menaces au cours des derniers mois confirmait la prééminence des attaques ciblées sur le client, la plupart du temps en s'appuyant sur des failles zéro-jour. Le rapport du SANS Institute vient également étayer ce constat, précisant l'identité des principales victimes.

Et sans grande surprise, compte tenu de leur omniprésence sur le marché, ce sont les produits Microsoft qui font les premiers les frais des attaques. Affectée par des zero-day depuis le mois de mai, la suite bureautique Office occupe donc une place centrale dans ce Top 20. Ces derniers mois ont en effet vu naître de multiples failles, aussi bien dans Excel que dans Powerpoint ou Word.

Sur les 20 failles zéro-jour listées dans le rapport, seules 4 ne concernent pas Microsoft. 5 sont relatives à Office, les autres touchant essentiellement Internet Explorer. Le navigateur, malgré ses quelques parts de marché récemment abandonnées à Firefox, reste largement dominant et, de fait, prioritairement scruté par les pirates. Ces derniers peuvent compter pour débusquer les vulnérabilités sur les outils de fuzzing (lire l'article du 27/07/2006).

16 des 20 failles les plus critiques affectent des produits Microsoft
Toutefois, l'OS de Microsoft n'est pas le seul à avoir connu plusieurs alertes sérieuses cette année. En effet, Mac OS figure à deux reprises dans le classement des vulnérabilités zero-day, tout comme le navigateur d'Apple, Safari. Ces dernières n'ont cependant pas fait l'objet d'exploitation. Quant à Linux, aucun exploit critique n'a été rapporté en 2006.

La hausse des failles dans les applications Web est une autre des tendances relevées par le SANS Institute. Wikis, Content Management Systems (CMS), portails, forums de discussion se sont, il est vrai, développés dans les entreprises. Les attaques contre ces services ont donc tout naturellement suivi une courbe ascendante.

  En savoir plus
 Outils bureautiques sous le feu des attaques
Enquête Nouvelles menaces
Dossier Failles
Afin de contribuer à renforcer la sécurité, le SANS s'est associé avec un fournisseur de solutions de gestion des vulnérabilités et de mise en conformité, Qualys. Celui-ci propose désormais un service d'audit gratuit détectant, sur un réseau, les failles mentionnées dans la liste annuelle SANS Top 20.

 
 
Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters