La X-Force, l'équipe de recherche passée sous pavillon IBM depuis le rachat d'ISS, a publié son rapport annuel sur la sécurité en 2006. Un ensemble de constats sur lequel elle s'appuie pour dresser une liste de tendances pour 2007 et à l'égard desquelles les entreprises devront faire preuve de vigilance. Au sommaire donc, bilan et boule de cristal pour les ingénieurs en sécurité.
Bilan de l'année écoulée d'abord. Première conclusion majeure, déjà largement démontrée par le SANS Institute (lire l'article du 17/111/2006) : la forte progression des vulnérabilités. En 2006, la X-Force en a ainsi recensées 7 247, soit 39,5% de plus qu'en 2005. 10 éditeurs totalisent 964 de ces failles divulguées. Par ordre décroissant, il s'agit de Microsoft, Oracle, Apple, Mozilla, IBM, Linux Kernel Organization, Sun, Cisco, HP et Adobe Systems.
Parmi les vulnérabilités divulguées publiquement par les nominés de ce Top 10, 86% ont bénéficié d'un correctif dans l'année. En ce qui concerne les failles publiées par les autres éditeurs, elles ont été corrigées à 65%. Alors pourquoi cette hausse des failles logicielles ? Pour le directeur de recherche Gunter Ollmann, ce phénomène s'explique en partie par l'utilisation d'outils de fuzzing, permettant d'industrialiser le processus de recherche (lire l'article du 11/08/2006).
Les outils de fuzzing sont toutefois aussi bien mis au service des experts en sécurité que des pirates. Mais quel est le niveau de gravité des vulnérabilités ainsi découvertes, à des fins malveillantes ou non ? Selon IBM, si leur nombre a progressé depuis ces dernières années, les risques associés ont eux aussi suivi une courbe ascendante. En 2000, 43,6% des failles pouvaient être exploitées à distance.
En 2006, ce taux grimpe à 88,4%.
En 2007, le phénomène devrait donc se poursuivre. Des logiciels comme Windows Vista devraient selon ISS être menacés, ou du moins concernés. Il est vrai que les sommes allouées à tout individu débusquant une vulnérabilité dans Vista ou IE ont de quoi susciter des vocations (lire l'article du 29/01/2006).
| Traque aux failles des navigateurs via les outils de fuzzing |
Autre tendance constatée, le déclin des codes malveillants émis par e-mail au profit de ceux exploitant des vulnérabilités dans les navigateurs Internet. Des failles pour lesquelles les applications de fuzzing pourront également être mises à contribution. Le chercheur H.D Moore l'a déjà largement illustré lors du mois des bugs navigateurs l'été dernier.
Quant au spam, il aurait connu une progression de 100% sur un an. Les trois principales nations émettrices de spam seraient ainsi les Etats-Unis, l'Espagne et la France. Même si l'Allemagne ne figure pas sur ce triste podium, la langue allemande arrive en deuxième position, très largement derrière l'anglais avec approximativement 92% des pourriels. L'objet le plus populaire en 2006 fut "Re: hi,". Une tendance qui, elle, se maintient.
Phishing, enfin. IBM ISS estime à 16,3% le volume de mails de phishing expédiés depuis la Corée-du Sud. Suivent l'Espagne (14,71%), les Etats-Unis (10,95%), la France (9.92%), le Brésil (6.76%). Troisième, les Etats-Unis figurent en revanche sur la première marche en ce qui concerne cette fois la réception d'emails d'hameçonnage.
|
Dossiers