 Abonnez-vous aux flux RSS  |
Il ne se passe pas un jour sans qu'une nouvelle faille de sécurité touche un logiciel ou un système d'exploitation. Selon un rapport publié par IBM au début de cette année, 7 247 nouvelles vulnérabilités ont été enregistrées en 2006, soit une moyenne de vingt par jour ! Une augmentation d'environ 40 % par rapport aux chiffres de 2005.
Mais toutes ces failles n'ont pas le même niveau de dangerosité. C'est pour tenter d'y voir plus clair que différents standards de classification ont été lancés ces dernières années notamment par le First, une association créée en 1990 qui regroupe des Cert (Computer Emergency Response Teams).
Des vulnérabilités couplées à d'autres menaces
Mais le système d'évaluation des vulnérabilités, le Common Vulnerability Scoring System (CVSS), commence à dater. « La typologie des vulnérabilités a beaucoup évolué en deux ans. Nous avons constaté de plus en plus de vulnérabilités "de moyenne sévérité" mais qui sont couplées avec d'autres menaces », constate Laurent Heslault, directeur général adjoint de la sécurité chez Symantec. La communauté internationale de la sécurité a donc jugé nécessaire de revoir les méthodes de calcul et d'appréciation du CVSS.
Le 20 juin, le First a présenté la version 2. « Elle représente une amélioration significative par rapport à la version originale. Elle réduit les incohérences, apporte une graduation supplémentaire et reflète de façon plus précise la large variété de vulnérabilités », estime Gavin Reid, expert en sécurité au sein de Cisco et responsable de l'équipe d'une douzaine de chercheurs spécialisés dans le CVSS.
Même si ces différents standards sont reconnus au niveau international, leur impact doit être relativisé. « Comme certains avis de sécurité sont plutôt laconiques, il est très difficile pour un tiers (tel que le First) d'évaluer l'impact réel d'une faille. Il est peut-être préférable de se fier à Metasploit, une plate-forme de tests d'intrusion embarquant des fonctions d'automatisation d'exploitation de failles et de création d'exploits. Si mon système peut être compromis par un code d'exploitation qui y est publié, il faut patcher », estime Nicolas Ruff du Centre de recherche de la société EADS.
Avec le « Common Vulnerability Enumeration », chargé du nommage des vulnérabilités, le Common Vulnerability Scoring System est devenu un standard incontournable. Créé en février 2005, ce système universel d'évaluation permet de donner une note (comprise entre 0 et 10 selon la dangerosité) à toutes les vulnérabilités. Pour déterminer cette évaluation, le CVSS tient compte de différents critères parmi lesquels son principe de fonctionnement, sa complexité à être repérée et à être exploitée, son impact au niveau des postes de travail et des réseaux...
La note 1 n'est pas très inquiétante car cette menace a un impact limité et elle ne peut pas se combiner avec une autre. A 5, la situation devient plus délicate car la vulnérabilité peut être exploitée aussi bien au niveau local qu'au niveau du réseau. Le pire est bien sûr la faille qui obtient la note 10. Elle peut permettre à un attaquant de modifier voire d'effacer des documents auxquels il aura eu accès. Cette graduation permet aux professionnels de la sécurité et aux entreprises de mesurer la gravité d'un événement et de prendre les mesures adéquates.
|
 |
|
Question d'argent
 |
|
 |
|
 conversation high-tech Jog the Web : faites du Net un diaporama |
 marché Les entrepreneurs du Web se tournent vers Israël |
 conversation high-tech Voxmobili : synchroniser son mobile avec le Web |
|
||||
 |
||||
 |
Pour retrouver toute l'actualité des collectivités locales Cliquez ici
|
 |
 |
||
 |
|
 L'actualité des .com, des .fr,des .biz... chroniquée par Jean-François Poussard (MailClub) Cette semaine : A quoi servira le .tel ?
|
|
||
 |
|
 |
 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Semaine du 1er au 7 octobre 2008
Le grand calme Que ce soit en environnement haute-disponibilité ou sur serveurs dédiés, la semaine a été particulièrement calme pour les hébergeurs. Environnement haute-disponibilité
Serveurs dédiés
01net.com, en partenariat avec  , mesure chaque semaine les performances des hébergeurs |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
|
Pour retrouver tout le test des opérateurs ToIPCliquez ici
|
|
 |
 |
| Deuxième édition des trophées 01 Informatique |
 |
|
| Abonnez-vous gratuitement ! | |
|
|
|
 |
|
 |
Une attaque affecterait 80 000 sites Web, selon un expert en sécurité |
 |
|
|
Le nouvel Internet à construire est l'Internet des objets |
|
|
|
AMD devient un fondeur sans usines |
|
|
|
IBM met en ligne messagerie, agenda, espace de travail et réseau social |
|
|
|
Mono 2.0 : les applications .NET s’ouvrent à Linux |
|
|
| > tout le classement |
|
 |
|
François Enaud (Steria) : « Les salariés sont les premiers actionnaires du groupe »Keyyo casse les prix de la téléphonie sur IPUne école de management publie gratuitement ses cours sur Internet
|
|
écrire à l'auteur
imprimer
envoyer par mail
