Internet Security Systems vient de publier son nouveau rapport trimestriel « Threat Insight Quarterly – Threat IQ » sur la typologie et l’évolution des risques et des menaces sur Internet au cours du troisième trimestre 2005.
Dans ce rapport, ISS constate que les hackers et les cyber-criminels sont de plus en plus prompts à concevoir des programmes malfaisants pour exploiter les failles logicielles et matérielles connues.

Le danger de la publication des vulnérabilités

Une vulnérabilité sur six est désormais exploitée dans les 48 heures suivant sa publication. Au bout d’une semaine, la moitié des failles de sécurité annoncées publiquement a déjà fait l’objet d’une exploitation par un programme malveillant (malware).
Cette réduction du délai entre publication et exploitation des vulnérabilités s’accompagne d’une forte augmentation du nombre et de la dangerosité des failles de sécurité.

Toujours plus de vulnérabilités

En 2005, les analystes de la X-Force, l'équipe de recherche d’ISS, ont identifié et signalé 4.472 vulnérabilités logicielles et matérielles, soit une augmentation de 33,73 % par rapport à 2004.
Les cybercriminels sont de plus en plus rapides à concevoir et à mettre en circulation des proof of concept (preuves de concept), des ébauches de code malveillant que s’échangent des communautés restreintes de cyberpirates avant de publier un exploit à destination des réseaux de criminalité internet organisés ou de forums.
Pour une vulnérabilité sur deux signalée en 2005, les experts d’ISS ont constaté que la mise au point de ce code s’effectue en moins d’une semaine.

Anticiper la publication

Dans un certain nombre de cas, les cyberpirates semblent même être en mesure « d’anticiper » la publication des vulnérabilités. Pour 12,5 % de toutes les failles de sécurité découvertes en 2005, on a vu apparaître des programmes "malware" juste après leur publication, quelques fois sous forme de code à compiler.
Ce rythme accéléré accentue la pression sur les éditeurs de logiciels et les constructeurs de matériels, qui doivent publier des correctifs dans des délais toujours plus courts. Mais cela pose aussi un problème aux entreprises qui doivent appliquer ces correctifs sur des infrastructures toujours plus complexes. C'est pourquoi :

• la capacité à maintenir le SI dans un état optimum de sécurité (mises à jour régulières, gestion de parc, gestion de versions..) est devenu crucial
• les fournisseurs de sécurité disposent désormais de labos (comme la X-Force d'ISS) pour réagir immédiatement et proposer des réponses adaptées et/ou des patchs dès l'annonce d'une vulnérabilité, anticipant ainsi la réaction de l'éditeur.