Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Institut SANS dévoile la liste 2007 des vingt plus grands risques pour la sécurité sur Internet

décembre 2007 par Institut SANS

Le 27 novembre, l’Institut SANS a dévoilé la liste 2007 des vingt plus grands risques pour la sécurité sur Internet, la septième liste consensuelle actualisée par le groupe de recherche énumérant les risques de sécurité encourus sur le cyberespace et ayant causé le plus de dommages aux personnes, aux sociétés et aux agences gouvernementales en 2007. Quarante-trois experts en sécurité issus des milieux gouvernementaux, professionnels et universitaires de six pays ont répondu à cette étude. Leurs noms sont énumérés sur le site www.sans.org/top20.

Le Top 20 de SANS de cette année met en lumière deux nouvelles cibles d’attaques que les criminels choisissent d’exploiter et indique que les attaques des pirates sur les anciennes cibles ont nettement augmenté. Bien que le Top 20 mette en évidence les nouveaux phénomènes d’attaques, les anciennes vulnérabilités restent la cible de programmes d’attaques automatisées qui analysent constamment la toile à la recherche de systèmes vulnérables. Le nombre de programmes automatisés qui cherchent des victimes est si grand que le SANS Internet Storm Center (l’un des premiers systèmes d’alerte contre les virus provenant d’Internet) signale que les ordinateurs ne devraient pas résister plus de cinq minutes avant d’être attaqués et ne supporteraient ces attaques que s’ils étaient configurés avec un système de sécurité avant d’être connectés à Internet.

Une synthèse des points essentiels du Top 20 de l’année accompagnée des protections les plus efficaces est annexée au présent document.

« Pour la plupart des grandes organisations vulnérables aux attaques, les nouveaux risques sont les plus préjudiciables », explique Alan Paller, directeur de la recherche à l’Institut SANS. Il poursuit : « Les nouveaux risques sont BIEN PLUS difficiles à éviter ; ils nécessitent une profonde implication dans la surveillance et une adhésion sans concessions à une politique prônant de vraies sanctions, ce que seules les grandes banques et les organisations militaires les plus vulnérables ont, jusqu’à présent, été disposées à mettre en place ».

Selon Paller, l’insécurité liée aux applications Internet est particulièrement gênante parce qu’un grand nombre de développeurs créent et mettent en place des applications Web sans jamais démontrer qu’ils savent créer des applications sécurisées. La plupart de leurs applications Internet donnent accès à des bases de données en arrière-plan qui contiennent des informations confidentielles. Paller explique que « jusqu’à ce que les universités qui forment les programmeurs et les entreprises qui les emploient s’assurent que les développeurs apprennent à utiliser un codage sécurisé, et jusqu’à ce que ces employeurs s’assurent qu’ils travaillent dans le cadre d’un cycle de développement efficace et sécurisé, nous continuerons à observer des vulnérabilités majeures pour près de la moitié des applications Internet » [le 20 novembre 2007, le Secure Programming Council (conseil de programmation sécurisée) a publié le premier modèle de précaution à prendre concernant les connaissances et les compétences que les programmeurs Internet doivent pouvoir mettre en œuvre en matière de sécurité. Les personnes intéressées peuvent consulter le rapport sur http://www.sans-ssi.org/essential_skills_java.pdf]

Le projet Top 20 de cette année a été dirigé par Rohit Dhamankar, directeur de recherche en sécurité pour TippingPoint, entreprise qui comprend les vecteurs d’attaque parce qu’elle conçoit des systèmes de prévention des intrusions auxquels un grand nombre des entreprises les plus vulnérables font confiance. Selon M. Dhamankar, « bien que la moitié des vulnérabilités signalées en 2007 fassent partie d’applications Internet, cela ne représente que le sommet de l’iceberg. Ces informations ne prennent pas en compte les vulnérabilités que présentent les applications Internet développées sur spécifications. Les sites Internet compromis ouvrent la voie à des violations du système du client à grande échelle par l’intermédiaire du navigateur Internet, de documents bureautiques et d’exploitations multimédia. Ce cercle vicieux de compromission se révèle être de plus en plus difficile à briser chaque jour ».

Informations sur l’étendue du problème

Qualys, l’entreprise qui examine des millions de systèmes dans des centaines de grandes organisations de par le monde à la recherche d’éventuelles vulnérabilités, est très bien placé pour déterminer l’endroit auquel de nouvelles vulnérabilités vont être découvertes. « Nous avons observé une très forte augmentation des vulnérabilités liées aux produits Microsoft Office, expliquent Amol Sawarte, directeur du Vulnerability Labs (laboratoire de recherche sur les vulnérabilités) pour Qualys. Ces graphiques présentent une augmentation de près de 300 % entre 2006 et 2007 concernant essentiellement les nouvelles vulnérabilités des fichiers Excel qui peuvent facilement être exploitées en amenant des utilisateurs peu soupçonneux à ouvrir des fichiers Excel envoyés par e-mail et des messages instantanés.

Lorsque des systèmes sont compromis par le biais d’une cible d’attaque quelconque, les infections par logiciel espion (parmi lesquelles les enregistreurs de frappe) font partie des résultats les plus fréquents. Webroot, la plus importante société de détection et de surveillance de logiciels espions, suit leur propagation. Gerhard Eschelbeck, directeur technique de Webroot déclare : « Depuis janvier 2007, Webroot a observé une augmentation de 183 % des sites Internet abritant des logiciels espions. (2) Le taux d’infection par des espions et des chevaux de Troie qui enregistrent les frappes est actuellement de 31 % et augmente rapidement. (3) A partir d’une enquête réalisée en septembre 2007, 77 % des petites et moyennes entreprises interrogées ont indiqué que leur réussite dépend d’Internet et 47,2 % ont fait état d’une diminution de leurs ventes causée par des logiciels espions ».

Le Top 20 a été présenté au public à l’occasion d’une réunion le 28 novembre et qui a été parrainée conjointement par l’Institut SANS et le CPNI (Centre de protection des infrastructures nationales) au Royaume-Uni, lors de laquelle 200 grands spécialistes anglo-saxons dans le domaine de la sécurité se sont réunis pour découvrir le Top 20 et ont essayé de trouver ensemble des contre-mesures.

Des outils de test gratuits :

Comme les années passées, Qualys propose un service gratuit permettant de tester les ordinateurs pour déceler les éventuels risques présentés dans le Top 20.

Cette année, Applicure Technologies, entreprise qui conçoit des pare-feu pour applications Internet, propose un outil gratuit de surveillance qui évalue le nombre d’attaques provenant de la toile touchant les serveurs SII et Apache.


SANS en bref

SANS est la source de formation et de certification sécurité la plus fiable et de loin la plus importante au monde. Plus de 65 000 professionnels de la sécurité ont été formés par SANS. Par ailleurs, SANS développe, tient à jour et met gratuitement à disposition le plus grand recueil de documents de recherche concernant divers aspects de la sécurité de l’information et gère le premier système d’alerte d’Internet, Internet Storm Center. SANS a été fondé en 1989 en tant qu’organisation coopérative de recherche et d’éducation. Ses programmes touchent à présent plus de 215 000 professionnels de la sécurité à travers le monde. Par l’intermédiaire de SANS, divers utilisateurs allant des vérificateurs aux administrateurs de réseaux en passant par les responsables de la sécurité de l’information partagent leurs avis sur les leçons qu’ils apprennent et trouvent ensemble des solutions aux problèmes qu’ils rencontrent. Les nombreux spécialistes en sécurité issus de diverses organisations mondiales, composées aussi bien de sociétés que d’universités, travaillent ensemble au sein de SANS pour aider l’ensemble de la communauté concernée par la sécurité de l’information.


Voir les articles précédents

    

Voir les articles suivants