mars 21st, 2011

Tout savoir sur les vulnérabilités de sites

Posté on 21 Mar 2011 at 4:43

Les XSS sont sur le point d’être dépassés par les fuites d’information (64 % des sites frappés), loin devant les risques de spoofing de contenu (43%) ou de forgerie de requêtes en cross site (24 %). La majorité des sites Web dans le monde est affectée par au moins une vulnérabilité différente par jour. Constat certes pessimiste, mais qui s’explique par la frénésie de perfectionnements, d’améliorations fonctionnelles et d’enrichissements divers que l’on apporte en permanence aux serveurs Internet. Ce constat est dressé par un récent rapport publié par White Hat (inscription obligatoire), entreprise dirigée par le célèbre Jeremiah Grossman. Cette fièvre d’enrichissements (et les vulnérabilités nouvelles qui l’accompagnent) est souvent plus rapide que ne le sont les campagnes de conception et de déploiement de correctifs. La fenêtre de vulnérabilité qui caractérise chaque site est donc accrue, ce qui permet d’estimer à 9 mois par an (270 jours) la « période de faillibilité moyenne » d’un site. Fenêtre d’autant plus difficile à réduire que certains bugs de conception dépendent d’applications écrites « à façon », donc non standard et ne pouvant bénéficier d’un correctif d’éditeur prêt à consommer. L’Owasp a encore bien du chemin à parcourir.

Les 15 pages du rapport fourmillent de métriques, notamment sur les temps de déploiement de patch par secteur industriel. En volume de failles « sérieuses » (exploitables) , c’est le secteur de la distribution qui est le plus touché, avec une moyenne de 404 « trous » par an, suivi par le secteur de la finance (266 failles) et des télécoms (215). Les secteurs « sensibles » sont plus prompts à balayer devant leur porte. Ainsi, dans le domaine bancaire, cette « moyenne annuelle des trous » tombe à 30, à 33 dans le secteur médical, 111 dans le milieu IT… et 35 seulement dans le domaine de la production industrielle.

A noter également que les risques en fonction de l’activité sectorielle peuvent varier du tout au tout. La proportion d’attaques potentielles en brute force ou en injection SQL est bien plus importante dans les secteurs bancaire, IT, distribution et finance que dans les domaines de l’éducation, de la santé ou des produits manufacturés.

De l’inculture informatique Britannique

Posté on 21 Mar 2011 at 11:57

Le Reg rapporte les résultats édifiants d’un sondage réalisé par l’ICO (les anges-gardiens de la vie privée en Grande Bretagne), et se penchant sur la sécurisation des réseaux sans fil familiaux : Deux Britanniques sur cinq n’ont aucune idée des procédures à suivre pour modifier les réglages sécurité de leurs routeur sans fil. Sur un échantillonnage de 2000 adultes, il apparaîtrait même que 16 % d’entre les sondés sont incapables de dire si oui ou non leur réseau WiFi est sécurisé. Manque de clarté des documentations émises par les FAI, absence de règles écr
ites sur les « politiques de mots de passe » déplore l’ICO. On retombe, estiment nos confrères du Reg, dans le syndrome de « l’impossible programmation du magnétoscope ».

En France, où existe fort heureusement le délit d’incompétence informatique et où chaque individu est tenu responsable d’une non-protection de ses routeurs, l’on a pu, depuis l’adoption de la loi Hadopi, constater une très forte augmentation des serveurs RADIUS installés dans les foyers Français, l’enseignement de Wireshark dans les écoles primaires et les maisons de retraite est devenu obligatoire, et chaque Ministre maîtrise désormais parfaitement les arcanes du remplacement du protocole WAP au sein d’un firewall OpenOffice. Pauvres Gibis, qui devraient prendre exemple sur nous …

Publicité

MORE_POSTS

Archives

mars 2011
lun mar mer jeu ven sam dim
« Fév   Avr »
 123456
78910111213
14151617181920
21222324252627
28293031