Deux fois par an,la X-Force publie un rapport détaillé sur l’état de la sécurité informatique et l’évolution des menaces. Celui de ce semestre n’est pas débordant d’optimisme. Les vulnérabilités officiellement déclarées sont, par rapport aux 6 premiers mois de l’an passé, en hausse de 36% (soit 4396 trous faisant l’objet d’un CVE). Croissance, disent certains éditeurs, reflétant le souci de la profession de mieux « chasser le bug ». Mais près de 55% de ces nouveaux défauts découverts ne sont pas accompagnés de rustines colmatant la faille. Sur les 10 plus gros publieurs de failles, l’on estime aux environs de 20 % le nombre de trous laissés sans correctif : Sun 24%; Microsoft 23.2%; Mozilla 21.3%; Apple 12.9%; IBM 10.3%; Google 8.6%; Linux 8.2%; Oracle 6.8%; Cisco 6%; Adobe 2.9%. Ces chiffres sont fournis sans analyse complémentaire, et notamment sans pondération en fonction d’un éventuel indice de dangerosité ou de possibilité d’exploitation.
Tout comme l’an passé, ce sont les imperfections situées dans les applications Web qui constituent la part la plus importante des découvertes : 55% des vulnérabilités, tous types confondus. Soit, en volume, un peu plus de 20 000 déclarations CVE effectuées durant les 6 premiers mois de cette année. Presque aussi populaires chez les pirates, les failles Adobe réalisent d’excellents scores dans la course à l’exploitation. En avril dernier, notamment, un brusque sursaut d’activité dû à un exploit du format .pdf a dépassé de 37 % la moyenne des exploits recensés depuis le début de l’année. Le phishing, enfin, connaît une baisse notable d’activité et chute de 82 % par rapport à l’an dernier. Reste que 49% des attaques de ce type le font sous les couleurs d’organismes bancaires.
1 commentaire