Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

Qualys MagazineDemandez aux ExpertsLe coin des RSSIQualys Community

Main Content

Left content

En 2005, les failles sont plus nombreuses et sont exploitées plus rapidement

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Selon la X-Force d’ISS, 4.472 vulnérabilités logicielles et matérielles ont été identifiées en 2005. L’éditeur observe que l’écart entre la publication d’une faille et son exploitation diminue.


Toujours plus de failles ! C’est la conclusion de la X-Force, équipe de recherche interne à ISS (Internet Security Systems). Selon son dernier rapport, 4.472 vulnérabilités logicielles et matérielles ont été identifiées en 2005, 33,7% de plus qu’en 2004.

Mais le plus inquiétant n’est pas là. Le délai entre l’annonce d’une vulnérabilité et son exploitation malveillante s’est considérablement réduit et s’accompagne d’une forte augmentation du nombre et de la dangerosité des failles de sécurité, explique ISS.

En effet, une vulnérabilité sur six est désormais exploitée dans les 48 heures suivant sa publication. Au bout d’une semaine, la moitié des failles de sécurité annoncées publiquement a déjà fait l’objet d’une exploitation par un programme malveillant.

Dans un certain nombre de cas, les pirates informatiques semblent même être en mesure d’anticiper la publication des vulnérabilités. Pour 12,5% de toutes les failles de sécurité découvertes en 2005, on a vu apparaître des codes malicieux juste après leur publication.

Cette réactivité de la part des hackers trouve certainement ses fondements dans les avancées en matière de reverse engineering.

Cette dernière technique permet de dénicher des vulnérabilités dans les logiciels sans pour autant disposer du code source de l’application. Ainsi, il est possible de véritablement disséquer les correctifs Microsoft dés leur parution pour comprendre le fonctionnement de la faille corrigée, en déduire son origine et développer un outil permettant de l’exploiter.

Le patch devient donc aussi dangereux que les détails techniques diffusés dans les alertes de sécurité …

 

Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

1 Star2 Stars3 Stars4 Stars5 Stars
Soyez le premier à évaluer cet article!

Participez ou lancez la discussion!

Right content

En bref

Newsletter gratuite

Anti-Corruption France 2014

Suivez-nous…

A lire également

Menaces sur les mobiles : ça prend forme
Le CERT-IST dresse le bilan 2013 des failles & attaques
Quand le patch censé corriger la backdoor en ajoute une autre

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.


Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.


BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.


Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web