|
Les analyses ont montré qu’il a été relevé en 2006 plus de vulnérabilités qu’en 2005. Cependant, ceci est principalement du au fait que plus on cherche de vulnérabilités, plus on en trouve. Ainsi, les attaquants, attirés par l’appât du gain recherchent des vulnérabilités pour les exploiter massivement et en tirer un profit, généralement financier.
Parallèlement à l'augmentation du nombre de vulnérabilités découvertes, l'année 2006 a vu le nombre d'attaques 0-day en forte hausse par rapport aux années précédentes.
Nombre et criticité de vulnérabilités et attaques 0-day
Le graphique ci-dessous présente les vulnérabilités rencontrées depuis 2004 sur systèmes Microsoft, par niveau de criticité avec le nombre d'attaques 0-day correspondantes.
© CLUSIF
Une forte hausse du nombre et de la criticité des vulnérabilités mais aussi des attaques 0-day se confirme sur 2006.
De plus, les systèmes Unix et Apple sont à présent également la proie des pirates informatiques. De nombreuses vulnérabilités ont été mises au grand jour en 2006 sur ces deux systèmes mais rien de comparable avec le nombre faramineux découvert chez Microsoft.
Top-10 des vulnérabilités 2006
Bien que de très nombreuses vulnérabilités soient publiquement diffusées, il faut toutefois toujours les replacer dans le contexte du niveau de risque.
Le CERT-IST, le CERT dédié aux Industries, Services et au Tertiaire en France, a publié la liste des vulnérabilités et des attaques 0-day les plus risquées sur 2006 :
© CLUSIF
La première remarque permet de voir que la majorité des alertes listées sont liées à des systèmes Microsoft.
Parmi cette liste des attaques les plus dangereuses, l'impact majeur réside dans les possibilités d'accès non autorisé au système. Bien souvent, ces vulnérabilités permettent à des attaquants la prise de contrôle à distance des ordinateurs vulnérables pour les intégrer dans un botnet, diffuser des spywares et autres malwares ou bien encore lancer des campagnes de spam et de phishing.
Protection vis-à-vis des attaques 0-day
Microsoft a une politique de diffusion des patchs correctifs de sécurité sur une base mensuelle : Microsoft ne publie ses patchs que le deuxième mardi de chaque mois.
Ainsi, à titre d'exemple, si une vulnérabilité est découverte le lendemain du jour de publication des patchs, il n'y aura aucun moyen d'appliquer le moindre patch avant 29 jours !!
A l’aide du tableau précédent il est possible de déterminer, pour les alertes touchant Microsoft, la date de disponibilité des patchs correspondant à chacune des vulnérabilités critiques :
© CLUSIF
Cette analyse montre qu'en tenant compte des dates de disponibilité des patchs par rapports aux dates de mise en ligne des premiers exploits permettant donc des attaques 0-day, on peut estimer qu'un système Windows est, en moyenne, vulnérable 22 jours par mois.
Pour une analyse similaire sur l’année 2004, vous pouvez vous reporter à l’article ScanIT-Vulnérabilités 2004.
Commerce des attaques 0-day
Parallèlement à la recherche d'exploits permettant de lancer des attaques 0-day, certains sites Internet ou organisations proposent à présent de fortes sommes d'argent en échange de PoC ou d'exploit permettant, via des vulnérabilités non patchées, de lancer des attaques 0-day.
Par exemple, avant la sortie de Windows VISTA, un site proposait jusqu'à 50.000$ pour un code informatique permettant d'exploiter immédiatement des vulnérabilités sous Windows VISTA.
Ces sites Internet achetant de telles vulnérabilités à des prix aussi élevés ont pour objectif d'utiliser les vulnérabilités non encore patchées pour corrompre les machines et installer des spywares et autres malwares sur les ordinateurs des internautes, voire même de prendre le contrôle à distance de ces ordinateurs afin de mettre sur pied de puissants botnets pour pouvoir lancer d'autres types d'attaques.
|
