Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Kaspersky : Les failles les plus récentes ne sont pas forcément les plus dangereuses

octobre 2013 par Kaspersky Lab

Afin d’obtenir une meilleure compréhension du paysage des menaces informatiques en entreprises, les experts de Kaspersky Lab et d’Outpost24 ont mené un audit auprès d’organisations européennes. Les résultats présentés dans un rapport conjoint mettent l’accent sur la vulnérabilité des SI d’entreprise, accentuée par les retards de mises à jour et les failles de sécurité non adressées.

Le rapport révèle qu’une attaque, même basique, contre un réseau d’entreprise peut faire mouche sans à avoir à exploiter de coûteuses vulnérabilités de type « zero day ». Les cybercriminels utilisent davantage des failles déjà connues mais non encore corrigées. Il faut en moyenne de 60 à 70 jours à une entreprise pour remédier à une vulnérabilité, un laps de temps amplement suffisant pour qu’une attaque puisse être réalisée contre son réseau.

En entreprise, certaines failles peuvent dater de plus de 3 ans

Une règle empirique veut que toute vulnérabilité critique soit traitée dans un délai maximal de 3 mois. Or 77% des menaces datant de plus de 3 mois sont encore présentes un an après leur découverte. Les équipes de chercheurs de Kaspersky Lab et d’Outpost24 ont collecté des données sur des failles remontant à 2010 et découvert des systèmes qui sont vulnérables depuis trois ans. Il existe même des systèmes non corrigés depuis une dizaine d’années en dépit du fait que les entreprises concernées délèguent leur sécurité à des professionnels.

Infographie [Logiciels Vulnérables] en pièce jointe

Expérience terrain : les administrations sont plus exposées aux risques que les entreprises privées

Après avoir rassemblé les données avec le concours d’Outpost24, David Jacoby, chercheur senior en sécurité chez Kaspersky Lab, a décidé de se livrer à une expérience de « social engineering » pour confirmer s’il est facile de pénétrer sur un réseau d’entreprise. Il s’est présenté à la réception de onze établissements en demandant d’imprimer depuis sa clé USB un document nécessaire pour un rendez-vous dans un lieu totalement différent. L’échantillon testé comprenait trois hôtels de différentes chaînes, six administrations et deux grandes entreprises privées.

Un seul hôtel a accepté, les deux autres ayant refusé, tout comme les entreprises privées. Sur les six administrations testées, quatre ont effectivement permis l’insertion de la clé dans un ordinateur. Dans deux cas, le port USB étant désactivé, le personnel a demandé à ce que le document lui soit plutôt envoyé par e-mail, ouvrant ainsi la porte à l’exploitation de vulnérabilités dans le logiciel de lecture PDF.

« Le plus étonnant est que les hôtels et autres entreprises privées sont plus sensibilisés à la sécurité que les administrations. L’audit réalisé peut s’appliquer à tous les pays car le laps de temps qui s’écoule entre la détection d’une vulnérabilité et sa correction existe partout. Le résultat de mon test avec la clé USB constitue également un signal d’alerte pour ceux qui recherchent des solutions de sécurité adaptées aux “menaces de demain”. Il souligne qu’ils feraient tout aussi bien d’inciter leur personnel à plus de prudence », commente David Jacoby, chercheur senior en sécurité au sein de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.




Voir les articles précédents

    

Voir les articles suivants