Sans « Top 20 » : un recul de 6 ans
Bilan décourageant que celui émis par le Sans dans son tout dernier « Top 20 » des vulnérabilités remarquables. Depuis des années, les attaques principales émises par les pirates se sont concentrées sur les noyaux et les failles réseau -directement dépendantes des gestionnaires de réseaux, NOS en anglais-. Face à ces menaces, les éditeurs et équipementiers ont peu à peu réagi, mettant en place -en traînant des pieds- un ensemble de procédures automatiques de mises à niveau et d'applications de correctifs. Depuis grosso modo le début 2005, c'est vers les applications elles-mêmes que se retournent les casseurs de codes. Et là, les « usines à patch » et autres filières de distribution automatique de correctifs brillent par leur absence, ou presque. « Nous nous retrouvons peu ou prou dans une situation identique à celle que nous connaissions il y a 6 ans, aussi démunis face aux attaques, aussi impuissants face à l'urgence de certains correctifs... lorsqu'ils sont publiés » déclarent en substance les rapporteurs du Sans. Cette montée des exploits touchant les « applications » et les architectures « cross platform » semble même plus inquiétante que ne veut bien le dire le Sans. Il y a 6 ans, les « méchants d'en face » étaient en majorité des script kiddies. Destructeurs, certes, mais pas fondamentalement dangereux, et en tous cas partisans d'une publicité tonitruante. Depuis, est apparu un nombre croissant de hackers noirs nettement moins visibles, plus discrets, mais capables d'infliger des pertes irrémédiables aux sociétés commerciales. Le trou de sécurité applicatif non seulement place les usagers dans une situation de dénuement technique certaine, mais en outre bénéficie de moins en moins de médiatisation. Or, sans médiatisation, sans cette « crainte d'impact sur l'image de marque », il y a fort à parier que les éditeurs se feront tirer l'oreille pour publier des correctifs officiellement, en temps et en heure. On constate déjà de tels effets pervers en voyant débouler sur les serveurs de déploiement des « super rustines » englobant 5, 10, voir une cinquantaine de correctifs. Autant de bugs dormants qui ne se voient semi-officialisés -ou semi-minimisés- que plusieurs mois après leurs dates de première signalisation.
