Il n’y a pas de logiciel sans bogue. Quel que soit le nombre de tests effectués par les utilisateurs, il est pratiquement impossible d’obtenir un logiciel totalement exempt de bogues, en particulier lorsqu’il s’agit d’applications plus volumineuses. Les bogues peuvent être ennuyeux, mais là où ils deviennent vraiment problématiques, c’est lorsqu’ils deviennent des vulnérabilités, c’est-à-dire un bogue qui peut être exploité à des fins néfastes.

Malheureusement, alors que les problèmes résultant des vulnérabilités continuent d’être très médiatisés, le problème s’aggrave. 2020 a battu des records comme étant l’année avec le plus grand nombre de vulnérabilités signalées. Pour ceux qui n’ont pas mis en place de mesures préventives appropriées, telles que les pare-feu d’applications Web (WAF), cela constitue une menace majeure.

Table des matières hide
1 Plus de vulnérabilités que jamais
2 Le défi avec les patchs
3 Investissez dans les bons outils pour vous aider

Plus de vulnérabilités que jamais

Les statistiques sur l’année record de 2020 (de toutes les pires manières) proviennent de données recueillies par le National Institute of Standards and Technology (NIST) des États-Unis, une agence non réglementaire du département américain du Commerce. Analyse des données du NIST a découvert 18 103 vulnérabilités révélées en 2020, dont plus de la moitié (10 342, pour être exact) ont été classées comme étant élevées ou critiques en termes de gravité. Le nombre de failles de sécurité relevant de cette catégorie était plus élevé que le total des vulnérabilités révélées une décennie plus tôt en 2010.

Les vulnérabilités logicielles peuvent avoir des conséquences désastreuses. Ils pourraient, par exemple, être utilisés pour l’élévation de privilèges, dans laquelle un pirate s’introduit dans un système, puis élève son accès à l’administrateur ou à un autre niveau supérieur. Cela leur permet de prendre le contrôle des ordinateurs à des fins malveillantes. Ils peuvent également – ou en plus – exploiter des vulnérabilités afin d’accéder à des informations confidentielles telles que les données des clients.

La plupart des développeurs agissent rapidement lorsqu’il s’agit de corriger les vulnérabilités au fur et à mesure qu’elles sont découvertes dans les logiciels. Alors que le scénario idéal est pour une entreprise de publier un logiciel sans bogue en premier lieu, comme indiqué, il est extrêmement difficile (sinon totalement hors de question) de le faire.

Publicité

En tant que mesure secondaire, les développeurs essaient donc de repérer les bogues ou les vulnérabilités avant qu’ils ne puissent être identifiés par de potentiels cyber-attaquants. Ils peuvent découvrir ces bogues eux-mêmes ou par le biais de chercheurs en sécurité, qui sont souvent récompensés par un soi-disant programme de primes de bogues. Les développeurs peuvent ensuite créer un correctif pour ces failles et les transmettre aux clients. Cette approche est un peu comme un propriétaire vérifiant les fenêtres desserrées ou les portes forcées sur sa propre propriété, puis les réparant, avant qu’elles ne puissent être exploitées par un cambrioleur potentiel.

Le défi avec les patchs

Cela fonctionne bien dans de nombreuses situations. Cependant, il existe des exceptions potentielles. L’un est dans le cas où le développeur est sans scrupules et lent à réagir, même s’il est conscient qu’une vulnérabilité potentielle existe. Plutôt que de le réparer eux-mêmes ou d’engager quelqu’un pour le faire à leur place, ils pourraient simplement rester assis et ne rien faire.

Une autre exception possible concerne les vulnérabilités du jour zéro. Ce sont des vulnérabilités qui n’ont pas encore été divulguées aux développeurs et qui leur sont donc inconnues. Le terme «jour zéro» fait référence au nombre de jours que le développeur ou le fournisseur a eu pour corriger une vulnérabilité avant qu’elle ne soit exploitée dans la nature.

La troisième exception, et peut-être la plus courante, concerne les défis associés aux logiciels de correction. Pour qu’un correctif fonctionne, il doit être installé par les utilisateurs concernés. Pour revenir à l’analogie du propriétaire, c’est la différence entre savoir qu’une certaine fenêtre de votre maison est lâche et prendre le temps de la réparer.

Aujourd’hui, les développeurs facilitent l’installation des correctifs, en les rendant disponibles gratuitement par voie hertzienne aux clients. Mais tous les clients ne les installeront pas tout de suite. Se tenir au courant du grand nombre de vulnérabilités et des correctifs de sécurité qui en découlent est pratiquement un travail à plein temps. Dans un nombre étonnamment élevé de cas, les utilisateurs seront conscients des vulnérabilités auxquelles ils sont confrontés avant qu’une attaque ne se produise; ils n’auront tout simplement pas réussi à installer le correctif en question.

Cela est susceptible d’être particulièrement vrai pour les entreprises, qui peuvent utiliser un nombre beaucoup plus grand de progiciels et se méfier des temps d’arrêt pouvant résulter de la mise à jour d’applications largement utilisées. Avec autant de correctifs à traiter, de nombreuses entreprises essaieront de les hiérarchiser en fonction de ceux qui semblent les plus critiques à ce stade. Les équipes de cybersécurité surchargées ne peuvent pas suivre le rythme des correctifs, laissant ainsi les organisations vulnérables à l’exploitation.

Investissez dans les bons outils pour vous aider

Aussi difficile que cela puisse être, le meilleur conseil est d’essayer de se tenir au courant des vulnérabilités de sécurité et des correctifs qui les corrigent. Mais c’est aussi une bonne idée d’investir dans les bons outils de cybersécurité pour vous aider. Les outils de pare-feu d’applications Web (WAF) et d’autoprotection des applications d’exécution (RASP) peuvent aider à atténuer les éventuelles menaces entrantes qui pourraient accompagner l’exploitation des vulnérabilités. Cela signifie détecter et bloquer les entrées malveillantes ainsi que les charges utiles de demande.

Arrêter les cyberattaques dans leur élan n’est pas facile. Les cyber-attaquants ont un travail sur lequel ils se concentrent: trouver des moyens d’exploiter les vulnérabilités pour vous rendre la vie plus difficile. Les entreprises, par contre, doivent se concentrer sur de nombreux aspects, ce qui signifie que ces types de mesures préventives sont souvent moins prioritaires qu’elles ne le devraient.

C’est compréhensible, mais il est crucial de changer quelque chose. Si 2020 a été l’année au cours de laquelle il y a eu plus de vulnérabilités signalées que jamais, faites de 2021 l’année où vous avez fait quelque chose à ce sujet.

Rate this post
Publicité
Article précédentAvez-vous remarqué ces modifications de conception dans Ubuntu 21.04?
Article suivantNouveau NOM: les vulnérabilités WRECK impactent près de 100 millions d’appareils IoT
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici