.

Sécurité

Inscrivez-vous flux rss

imprimer envoyerrecevoir

La durée de vie moyenne d'une faille est de 348 jours


Edition du 10/07/2007 - par Cyrille CHAUSSON

Malgré des mises à jour régulières, il s'écoule en moyenne 348 jours entre la découverte d'une faille de sécurité et la publication de sa rustine, selon Immunity.

Selon Justine Aitel, PDG du spécialiste en sécurité Immunity, il s'écoule en moyenne 348 jours entre la découverte d'une faille et son annonce publique ou mieux, la publication du correctif correspondant. Immunity, qui achète des failles de sécurité avant que celles-ci ne soit rendues publiques pour en intégrer les protections à ses logiciels, garde régulièrement une trace de ses failles. Les plus évidentes sont rendues publiques en 99 jours, et les plus longues ont tenu 1080 jours, soit près de trois ans ! « Les bugs meurent lorsqu'ils sont rendus publics », explique Justine Aitel. « Et ils meurent à nouveau lorsqu'ils sont patchés. »
Elle incite d'ailleurs les responsables informatiques à ne pas attendre les publications de failles pour protéger leurs logiciels. C'est en amont qu'elles sont les plus dangereuses : « D'énormes sommes d'argent sont offertes pour des failles « zéro day » (NDLR, non-encore publiée) ». Et si des sociétés comme la sienne existent, les cyber-criminels ont de gros moyens financiers à leurs dispositions. Pour se protéger, selon Justin Aitel, les sociétés doivent faire des audits de sécurité - interne comme externe - réguliers. « Partez du principe que tous les logiciels ont des trous. C'est vrai : ils en ont. »
Notons par ailleurs que les politiques de diffusion de correctifs de certains éditeurs suivent un calendrier rigoureux. Chez Microsoft, par exemple, les rustines sont distillées une fois par mois - le deuxième mardi- à l'occasion du sempiternel Patch Tuesday. D'autres attendent pour délivrer d'un bloc un ensemble de correctifs. Ces initiatives peuvent ainsi décaler la publication de la rustine, de sa découverte souvent réalisée bien plus en amont.


En savoir plus


- Des failles exploitées peu après la diffusion du patch . - Une place de marché pour les failles de sécurité .

Vos commentaires

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Oodrive choisit d'intégrer des solutions de sécurité SaaS en rachetant CertEurope

Le groupe Oodrive a annoncé avoir racheté l'entreprise CertEurope, qui propose depuis (...)

Dan Serfaty, Viadeo : « Pourquoi il y a aussi peu d'entreprises françaises IT de taille mondiale »

Distributique : Vous avez créé votre entreprise en 2004 en France, vous venez de (...)

Google n'a pas violé les brevets d'Oracle pour Android, estime le jury

Le système d'exploitation Android de Google pour mobile ne porte pas atteinte aux (...)

Des actionnaires poursuivent Facebook, Zuckerberg et Morgan Stanley

Une action de groupe, ou ''class action'', lancée mercredi 23 mai, affirme que de (...)

Google peut enfin racheter Motorola Mobility

Le PDG de Google, Larry Page, a annoncé le rachat de Motorola Mobility par sa société (...)

Le NFC testé à l'aéroport de Blagnac

50 voyageurs réguliers de Toulouse-Blagnac vont être invités à tester la technologie (...)

L'iPhone 5, inspiré du design de l'iPad, pourrait être vendu dès octobre 2012

Les informations se font de plus en plus claires concernant le design de l'iPhone (...)
Recherche


Sondage flash
Laisser travailler les employés avec leur propre équipement, votre entreprise
Conférences
05/06/2012
GESTION DES RISQUES: Protéger l'entreprise ouverte, sociale et mobile
De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e
programme   s'inscrire
conférencestoutes les
conférences
Agenda
Du mardi 5 juin 2012 au mercredi 6 juin 2012
Béziers : 23ème congrès du Coter-Club
Palais des congrès de Béziers
en savoir plus
agendatout
l'agenda