Décryptage

Les failles de sécurité font de la résistance

Posté le 5 juillet 2016
par Philippe RICHARD
dans Informatique et Numérique

Les rapports sur la sécurité se suivent et se ressemblent. Publié récemment par Microsoft, il pointe du doigt des vulnérabilités qui ne sont toujours pas corrigées après plusieurs… années.

Régulièrement, les éditeurs de logiciels et de systèmes d’exploitation publient des correctifs de sécurité. Mais toutes les entreprises n’assurent pas ce SAV avec le même professionnalisme et la même rapidité. Cette situation n’est pas du tout récente.

Mais la publication de rapports représente l’occasion de rappeler qu’elle est à haut risque.

Ainsi, le rapport Security Intelligence (SIR) de Microsoft révèle que la faille CVE-2010-2568 a été découverte « il y a 6 ans en 2010 à l’occasion du fameux virus Stuxnet, cyber arme de sabotage des infrastructures nucléaires Iraniennes » comme le précise Silicon.fr.

Or cette vulnérabilité concerne encore des postes de travail fonctionnant sous Windows 8, Windows 7, Vista, XP, Server 2008 et Server 2003. Sur ces ordinateurs et serveurs, les mises à jour de sécurité n’ont donc pas été appliquées…

Il y a quelques mois, le Cyber Risk Report de HP avait fait le même constat inquiétant : « la majorité des exploits analysés par notre équipe se reposent sur d’anciennes vulnérabilités ». Et dans ce rapport, HP avait cité des failles exploitant du code présent dans des fonctionnalités obsolètes, au sein d’Adobe Reader ou de… Microsoft Office par exemple. À ce propos, en novembre 2014, Microsoft avait corrigé une faille présente depuis… 19 ans dans ses différents systèmes d’exploitation, c’est-à-dire – au moins – depuis Windows 95 !

Les systèmes d’exploitation pour téléphones ne sont pas épargnés. Il y a quelques jours, des experts en sécurité informatique ont découvert une faille qui sévit sur les smartphones Android depuis 2011. Le plus inquiétant est que cette faille ne sera jamais corrigée sur certains appareils (ceux embarquant des puces Qualcomm et tournant sous Android Jelly Bean 4.3). De son côté, Apple a corrigé en janvier dernier une vulnérabilité repérée pour la première fois en 2013.

Si les vieilles failles ne sont pas encore corrigées sur tous les postes de travail, il y a aussi des vieux virus qui ne sont toujours pas détectés et qui représentent donc encore une menace. Organisé en 2010 à Paris par l’ESIEA (une école d’ingénieurs), le challenge PWN2KILL avait été redoutable pour les principaux antivirus du marché.

Lors de ce concours, des hackers devaient désactiver des ordinateurs protégés par des antivirus. Certains poids lourds censés protéger les PC contre les codes malveillants n’avaient pas résisté plus de quelques minutes. « Le plus inquiétant est que sur une échelle de 1 à 10, le niveau technique moyen des attaques était de 4 environ. Face à des attaques plus sophistiquées, le résultat aurait été encore plus désastreux. Autre constat alarmant : une des attaques reposait sur un code malveillant de trois lignes, vieux de dix ans et montré sur YouTube. Or, il a mis K.O tous les antivirus ! », avait constaté Éric Filiol, coorganisateur du challenge.

Philippe Richard


Pour aller plus loin

Dans les ressources documentaires