Ayant procédé à une étude massive sur une base de données de plus d'un million de vulnérabilités recensées depuis 18 mois, le vice-Président technique de Qualys - Gerhard Eschelbeck - vient de présenter ses résultats devant une commission technologique du Congrès américain.

Au programme, quatre grandes lois ont été exposées : la demi-vie des vulnérabilités est de 30 jours, le taux de renouvellement annuel des failles est de 50%, certaines d'entre elles sont même immortelles et la disponibilité des exploits (les codes permettant d'exploiter les failles) est assurée en 60 jours pour 80% des vulnérabilités.

Une demi-vie qui en dit long sur les difficultés rencontrées - "La demi-vie des failles les plus critiques est de 30 jours, elle double pour les failles dont le degré de sévérité est moindre. Cela signifie qu'il faut un mois pour éradiquer les vulnérabilités les plus dangereuses sur 50% des systèmes", déclare Gerhard Eschelbeck. Cette constatation met en exergue les difficultés rencontrées par les administrateurs réseaux à dégager du temps pour la mise en place des patches, à identifier les systèmes concernés et surtout à discerner quelles vulnérabilités sont les plus sévères. Sans oublier la peur de déstabiliser l'architecture en place par l'ajout d'un patch.

"Les systèmes d'alertes sont aujourd'hui devenus incontournables, ils permettent d'y voir clair dans la masse d'informations quotidiennes. Sur 20 à 25 nouvelles failles par semaine, seules deux ou trois sont à prendre véritablement en considération. Qui plus est, mon message est de dire aux administrateurs qu'il vaut mieux provoquer une instabilité passagère sur leurs systèmes plutôt que de laisser béante une faille exploitable, et donc de risquer un sinistre grave", ajoute Gerhard Eschelbeck.

Autres lois et troisième génération de menaces - Parmi les autres lois exposées dans le cadre de cette étude : le fait que la moitié des failles les plus diffusées et critiques sont remplacées - à hauteur de 50% - tous les ans par d'autres failles tout aussi critiques. Ensuite, que la durée de vie de certaines vulnérabilités est infinie, en raison principalement du déploiement de PC et de serveurs reposant sur une base logicielle non patchée... Enfin, que la disponibilité des codes d'exploitation est aujourd'hui de 60 jours, pour 80% des failles.

Au delà de ces résultats statistiques, Gerhard Eschelbeck pointe du doigt le fait que les menaces appartiennent désormais à une nouvelle génération, la troisième. Une de ses caractéristiques est que les attaques sont préparées, à la fois par un recensement préalable des systèmes vulnérables mais aussi par une programmation des cibles à atteindre une fois les premiers contreforts des défenses adverses pris d'assaut. Ce fut le cas du site de Microsoft, victime désignée du ver Blaster en août dernier, qui n'en réchappa qu'en se "sabordant" quelques heures pour esquiver l'attaque.

La troisième génération est aussi marquée par l'emploi de multiples vecteurs de propagation, comme les messageries instantanées, les réseaux sans fil et les systèmes utilisant la voix sur IP. Enfin, ce type d'attaques se caractérise par une propension à pénétrer le coeur des systèmes, alors que seule la sphère extérieure des architectures était jusqu'à présent touchée. "Seul un dispositif automatisé et continu d'élimination des vulnérabilités peut permettre de protéger les réseaux nationaux efficacement", conclut Gerhard Eschelbeck.

Article Original : JournalDuNet