Etudes

Le top 20 des failles les plus exploitées par les pirates.

Par Jerome Saiz, le 13 oct 2003 à 12:02:00.

Le SANS Institute publie pour la troisième année consécutive son top des failles préférées par les pirates et les contre-mesures ad-hoc. On y découvre les vulnérabilités les plus exploitées durant l'année écoulée. Le document est une lecture très instructive... et plutôt déprimante : ce sont chaque année les mêmes failles, ou presque.

Le Top 20 des failles de sécurité est réalisé chaque année par le SANS Institute en collaboration avec le FBI.
Les deux organismes compilent les rapports d'incidents qui leur sont parvenus durant l'année et ils en extraient les tendances du moment. Cette année, ce sont deux top 10 qui sont publiés. L'un présente les dix failles les plus exploitées sous Windows, et l'autre celles sous Unix (et ses cousins libres tels que Linux ou les BSD).
Tous deux sont très proches du top 20 de l'an dernier : on y retrouve les habituelles failles d'Internet Explorer, Outlook Express et IIS du côté de Microsoft, et les failles de Bind, Sendmail et autres SSH du côté d'Unix. En outre, le SANS liste les "oublis" traditionnels multi-plateformes tels que des mots de passe faibles ou qui voyagent en clair sur le réseau.
Ce document offre une vision plutôt déprimante de la sécurité des systèmes d'information : ce sont essentiellement les mêmes faiblesses, tout juste une poignée, qui sont exploitées par les pirates depuis toutes ces années. Les responsabilités sont partagées entre les éditeurs de logiciels et les entreprises, qui ignorent souvent les conseils de simple bon sens (oui, il reste encore dans la nature des comptes utilisateurs sans mot de passe...)
Mais ce Top 20 n'est pas qu'un long et sinistre inventaire à la Prévert : le document offre pour chaque faille les méthodes pour s'en protéger (modifications de la base de registre de Windows, des fichiers de configuration d'Unix, bonnes pratiques, etc). Une lecture nécessaire !

Plus d'information

Le Top 20 du SANS en ligne.
Le Top 20 au format PDF.
Le Top 10 des failles web les plus courantes (LesNouvelles.net, janvier 2003).

Le top 10 des failles web les plus courantes. (15 jan 2003)
La divulgation des failles de sécurité reste libre. (19 mars 2002)
Les bonnes affaires sécurité chez Computer Associates. (28 mai 2001)
Le site Windows Update imité par des pirates. (09 avril 2005)
Les PME plus exposées aux risques d'intrusion. (24 oct 2000)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches