Toujours plus de failles ! C’est la conclusion de la X-Force, équipe de recherche interne à ISS (Internet Security Systems). Selon son dernier rapport, 4.472 vulnérabilités logicielles et matérielles ont été identifiées en 2005, 33,7% de plus qu’en 2004.

Mais le plus inquiétant n’est pas là. Le délai entre l’annonce d’une vulnérabilité et son exploitation malveillante s’est considérablement réduit et s’accompagne d’une forte augmentation du nombre et de la dangerosité des failles de sécurité, explique ISS.

En effet, une vulnérabilité sur six est désormais exploitée dans les 48 heures suivant sa publication. Au bout d’une semaine, la moitié des failles de sécurité annoncées publiquement a déjà fait l’objet d’une exploitation par un programme malveillant.

Dans un certain nombre de cas, les pirates informatiques semblent même être en mesure d’anticiper la publication des vulnérabilités. Pour 12,5% de toutes les failles de sécurité découvertes en 2005, on a vu apparaître des codes malicieux juste après leur publication.

Cette réactivité de la part des hackers trouve certainement ses fondements dans les avancées en matière de reverse engineering.

Cette dernière technique permet de dénicher des vulnérabilités dans les logiciels sans pour autant disposer du code source de l’application. Ainsi, il est possible de véritablement disséquer les correctifs Microsoft dés leur parution pour comprendre le fonctionnement de la faille corrigée, en déduire son origine et développer un outil permettant de l’exploiter.

Le patch devient donc aussi dangereux que les détails techniques diffusés dans les alertes de sécurité …