A noter toujours au sujet des indices de dangerosité une très amusante causerie animée par Mr Bryan Lu, de Fortinet, lors de la dernière VB Conference de Genève. La présentation avait pour titre « I’m not a numero ! Assessing globa security threat levels ». Le propos de Lu est simple : il existe, sur le Web, plus d’une vingtaine d’indicateurs de risque informatique, ces « threat level » émis par les éditeurs de firewalls, d’antivirus, de logiciels et équipements divers. Que mesurent-ils et sont-ils exploitables ? Pris indépendamment, ils sont aussi utiles qu’une paire de chaussettes à un lombric. Certains reflètent un accroissement des attaques par rapport à un même mois de référence situé un an plus tôt, d’autres effectuent une moyenne lissée sur les trois derniers mois, d’autres encore ne prennent en compte que le nombre de faille publiées, d’autres enfin comptabilisent les exploits publiés (qui ne sont pas, faut-il insister sur ce point, les plus utilisés « dans la nature »). « L’an passé, à la même époque, le monde entier sabrait le champagne à l’annonce de la fermeture de McColo. Sachant cela, que peut donc bien signifier aujourd’hui, par rapport à l’an passé, un « indice du niveau du spam » ? Une telle donnée brute dégagée de son contexte ne peut que fournir un indice de dangerosité élevé et non significatif, en d’autres termes, du « fud » », explique le chercheur.
Pourtant, de ces taxinomies fantaisistes et de ces statistiques insignifiantes, Bryan Lu parvient tout de même à en tirer des métriques réellement exploitables. En les accumulant toutes, en tenant compte de la manière dont chaque « index d’alerte » est calculé, et en en extrapolant une moyenne non biaisée. Une fois cette prise en compte achevée, il « suffit » à l’administrateur d’auditer son propre parc de la manière suivante :
– Compter le nombre d’usagers frappés par une vulnérabilité répertoriée
– Compter le nombre d’occurrences desdites vulnérabilités par usager et en extraire une première cote d’alerte
– Extraire les vulnérabilités actives en fonction de certains critères tels que leur ancienneté et leur aspect plausible (élimination des faux positifs)
– Déterminer la sévérité de la vulnérabilité et lui attribuer une pondération
– Comparer la valeur globale dérivée des valeurs pondérées
Ouf. S’ajoute à ce savant calcul une estimation de la fréquence générale desdites vulnérabilités détectées, de laquelle dépendra le « niveau » réel de l’alerte. Les plus curieux pourront se reporter sur la série de transparents préparés par l’orateur.
L’on comprend un peu mieux la raison pour laquelle certains grands comptes mettent autant de temps avant que de déployer certains correctifs. Une bonne modélisation mathématique, ça nécessite de longues heures, des jours, des semaines de calcul.