|
En 2006, le nombre de vulnérabilités, tous systèmes confondus, a fortement progressé par rapport aux années précédentes. Ainsi, 2006 a été l'année des attaques 0-day.
L’année 2006 marque le début de la commercialisation de programmes permettant de lancer des attaques 0-day. Ceux-ci permettent à des pirates de récolter jusqu'à 50.000$ en les vendant sur des marchés parallèles.
Cette année 2006 a confirmée une tendance qui remonte à 2005 et qui deviendra probablement un standard pour le futur, à savoir des attaques de plus en plus ciblées, donc de plus en plus difficiles à détecter.
Dans tous les cas, l'époque des attaques massives et aveugles sur Internet semble bel et bien révolue.
Vulnérabilité
Vulnérabilité
Une faiblesse d'un asset ou d'un groupe d'assets qui peut être exploitée par une ou plusieurs menaces.
Norme internationale ISO 13335-1 publiée en 2004
En terme général, les vulnérabilités expriment toutes les faiblesses qui pourraient être exploitées par des menaces.
Fiches thématiques :
Risques
Vulnérabilités
|
Exploit
Exploit
Description précise et publique de l'exploitation d'une vulnérabilité profitant d'un trou de sécurité spécifique.
Cette description est accompagnée d'exemples et de proof of concept (PoC) permettant d'exploiter facilement et sans connaissances techniques poussées, la vulnérabilité mise en avant. Des programmes pirates distribués via Internet regroupent de nombreux exploits. Ces outils sont généralement utilisés par de jeunes pirates, couramment dénommés script-kiddies.
Fiche thématique
Pirates informatiques
|
PoC
PoC : Proof of Concept
Conception d'un code informatique montrant les possibilités d'utilisation d'un exploit à grande échelle. Par définition, un PoC est une démonstration de la faisabilité d'un exploit.
|
Attaque 0-day
Attaque 0-day
Une attaque 0-day, prononcer zero-day, est une exploitation d'une vulnérabilité pour laquelle aucun patch n'a été publié par l'éditeur du programme ou de l'application vulnérable.
On parle d'attaque 0-day lorsque l'on trouve des exploitations d'une vulnérabilité comme décrit dans un PoC largement diffusé avant que l'éditeur du programme vulnérable n'ait eu le temps de publier un patch correctif.
Dès lors que l'éditeur du programme vulnérable délivre le patch adéquat, on ne parle plus d'attaque 0-day.
En résumé :
attaque 0-day = vulnérabilité + absence de patch + PoC + exploit
|
Conclusion
La tendance, amorcée en 2005 et renforcée en 2006, consiste en la mise en place d'attaques ciblées
et à la vue des intérêts en jeux et des perspectives pour les pirates informatiques, on peut malheureusement parier sur un avenir prospère quant à la recherche de vulnérabilités et la publication d'exploits et autres attaques 0-day.
Pour conclure, 2006 n'a pas été la scène d'attaques trop bruyantes sur Internet. On peut vraisemblablement penser qu’il en sera de même pour 2007-2008 et parier que les attaques 0-day seront à l'avenir très peu utilisées et seulement à l'encontre de cibles très précises.
On peut parier sur la fin des attaques massives et aveugles sur Internet, rendant les futures attaques bien plus difficiles à détecter et donc à contrer mais néanmoins tout aussi dangereuses que les précédentes.
Recommandations
- Mettre à jour son système d'exploitation et ses applications en installant, dès que possible, les patchs correctifs de sécurité publiés par des sources de confiance, les éditeurs des programmes et les systèmes d'information,
- Utiliser un anti-virus mis quotidiennement à jour.
 |
SOUS-RUBRIQUES
|
|
