« Le succès de la majorité des attaques informatiques est dû à quelques failles logicielles », écrit le SANS (SysAdmin, Audit, Network, Security) Institute dans son rapport en collaboration avec le FBI. « Cela peut être attribué au fait que les hackers sont opportunistes, ils empruntent l’itinéraire le plus commode et exploitent les failles les mieux connues à l’aide des outils les plus efficaces et les plus répandus (…) Ils comptent sur l’absence de mise à jour et attaquent souvent sans discrimination, se contentant de scanner l’Internet à la recherche de systèmes vulnérables », poursuivent les rapporteurs.
Le rôle du SANS Institute n’est pas de faire la chasse aux pirates mais d’informer, essentiellement les administrateurs, des modes d’attaques informatiques les plus courants. Et les invitent évidemment à mettre à jour leurs systèmes, sachant que des correctifs adaptés à la plupart des failles sont disponibles. Le SANS propose également des solutions en collaboration avec le CERT. Pour ce troisième rapport, vingt failles ont été répertoriées contre dix en juillet 2000. Sans sectarisme, l’institut partage à égalité les vulnérabilités entre les systèmes Windows et Unix/Linux. Evidemment, les failles relevées dans le rapport n’ont rien de nouveau pour les responsables informatiques assidus. Vnunet.fr a d’ailleurs déjà évoqué nombre d’entres elles.
Applications et systèmes
Côté Windows, les failles mises en avant touchent autant les applications (serveurs IIS et SQL, navigateurs IE) que les systèmes (NT, 2000, XP). On y trouve notamment les vulnérabilités d’Internet Explorer (contrôles ActiveX, buffer overflow, MIME-type…), la faible protection de la base de registres, ou encore l’exécution d’un script VBS reçu par e-mail. Du côté d’Unix, on notera les failles liées aux RPC (Remote procedure calls) qui permettent de faire exécuter une tâche par une machine sur une autre. Le rapport note également des failles sur le serveur Web Apache rappelant que si ce serveur a une bonne réputation sur son niveau de sécurité, « il n’a pas prouvé son invulnérabilité après examen minutieux ».
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…