Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le CERT-IST dresse le bilan 2013 des failles & attaques

auteur de l'article Jerome Saiz , dans la rubrique Menaces

cert

Le CERT-IST a publié son bilan annuel des failles et attaques pour l’année 2013. Selon l’organisme les trois actualités majeures de l’année 2013 sont l’affaire Snowden, les attaques hardware et la sécurité offensive (et nous partageons cette analyse !).

Concernant l’affaire Snowden, le CERT note que rien de ce qui a été révélé n’est véritablement une surprise. En revanche, l’organisme offre un parallèle bien vu : l’effet de ces révélations est similaire à l’impact qu’a eu en son temps le virus Stuxnet en 2010 : « il transforme un risque théorique en un événement certain et démontré« . L’affaire aura donc contribué à préciser un risque plutôt qu’à le révéler.

Sur le front des attaques matérielles, l’année 2013 aura été là aussi celle de la prise de conscience. Même si, là encore, rien n’est très nouveau en soit (SSTIC 2009 et 2011, CanSecWest 2009). Mais l’année écoulée a vu la publication d’études et de preuves de concept qui vont beaucoup plus loin : l’infection du firmware d’un contrôleur de disque dur, les vulnérabilités IPMI / BMC (que nous vous présentions comme « la vulnérabilité de la rentrée » !), et même les discussions autour du (supposé) malware BadBIOS, dont les fonctionnalités avancées sont toutes théoriquement réalisables.
Enfin, l’année aura également permis d’apprendre que la NSA travaille elle aussi depuis longtemps sur les attaques matérielles, avec notamment à sa disposition des backdoors embarquées dans des contrôleurs de disque, des BIOS ou encore des cartes PCI.

Ces révélations sont importantes, car, comme l’indique le CERT-IST, elles font passer la menace d’attaques hardware du statut d’hypothèse à la réalité, et elles vont probablement contraindre les entreprises a les prendre en compte de manière plus concrète.

Enfin, la généralisation de la notion de sécurité offensive est la troisième tendance notée par le CERT-IST. Selon l’organisme il s’agit là d’une évolution plutôt logique, liée notamment à la présence renforcée (ou plus assumée, ndlr) des Etats sur Internet. En revanche, le risque est de voir cette option régalienne s’étendre progressivement aux entreprises privées. Le CERT note à ce sujet que la vente de vulnérabilités zero-days est désormais parfaitement acceptée et que cela pourrait conduire à terme à l’émergence d’acteurs privés proposant ouvertement des services d’actions cyber offensives.

Du point de vue des alertes émises, le CERT-IST a publié en 2013 treize alertes modérées (des « Dangers Potentiels » dans sa nomenclature) et aucune alerte majeure. Sur ces 13 bulletins, 12 concernaient le poste de travail (Windows, Internet Explorer, Java, Adobe Reader, CyrptoLocker). L’organisme tempère donc la perception d’une menace « tout azimut » ou ciblant avant tout les serveurs : le poste de travail demeure une cible privilégiée des attaquants.

Plus d’information :
Télécharger le bilan annuel 2013 du CERT-IST (PDF, en français) 


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Le CERT-IST dresse le bilan 2013 des failles & attaques

  1. Arnaud Fillette dit :

    C’est effectivement une analyse démontrant le professionalisme de cette équipe. Je la trouve même avant-gardiste comparée à toutes les études génériques de nombreux éditeurs qui se contentent de compiler des données de leur veille média.

  2. Nicolas RUFF dit :

    « La vente de vulnérabilités zero-days est désormais parfaitement acceptée » … je croyais que les 0day étaient désormais des armes de guerre au sens du traité de Wassenaar ?

    • C’est exact, mais le CERT-IST parle certainement ici de l’acceptation publique : ils sont désormais vendus de manière commerciale et ouverte, assumée, bien que réglementée.
      Par ailleurs dans l’absolu il n’y aurait pas forcément besoin de zero-day pour proposer de telles prestations « offensives » (usage des techniques habituelles de pentests habillées de marketing offensif).

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.