Vulnérabilités : comment les pirates conservent une longueur d’avance

La divulgation d’outils utilisés par la CIA ou par la NSA n’a pas manqué d’interpeler, notamment sur la responsabilité de ces agences sur la sécurité numérique collective. Mais le secret qu’elles peuvent choisir de conserver sur certaines vulnérabilités, dans leur propre intérêt, apparaît loin d’être le seul problème concernant la gestion de celles-ci.

De fait, Recorded Future s’est penché sur plus de 12 000 vulnérabilités publiées sur le registre du Nist américain entre 2016 et 2017 pour découvrir que les trois quarts d’entre elles étaient déjà amplement discutées, en ligne, avant cette divulgation officielle. Dans un billet de blog, ce spécialiste du renseignement sur les menaces indique avoir observé un « écart médian de 7 jours » entre le moment où les vulnérabilités ont commencé à être dévoilées et le lancement effectif de l’alerte. Et de souligner que des écarts plus importants ne sont pas rares : plus de 50 jours pour 25 % des vulnérabilités, et même plus de 170 jours pour 10 %.

Selon Recorded Future, la situation ne va pas en s’améliorant. Au premier semestre 2016, le délai médian était de 5 jours ; il est passé à huit sur la seconde moitié de l’année dernière. Pire : « il y a encore plus de 500 vulnérabilités annoncées initialement en 2016 qui attendent » leur publication au registre du Nist.

Dès lors, « de toute évidence, d’autres sources sont nécessaires pour rester au courant des plus récentes vulnérabilités ». Mais celles-ci sont nombreuses : il faudrait en compter plus de 300, dont bien sûr celle de Rapid7 pour Metasploit. Mais selon Recorded Future, suivre les sources anglophones serait insuffisant : « nous avons vu environ 200 vulnérabilités divulguées initialement sur la base de données nationale des vulnérabilités chinoise ».

L’écart de notification semble osciller sensiblement selon les entreprises dont les produits sont concernés. C’est pour Adobe qu’il apparaît le plus réduit, et pour IBM qu’il semble le plus important, avec un délai médian supérieur à 30 jours. Une bonne nouvelle alors que les produits du premier constituent historiquement une cible de choix pour les attaquants.

L’autre bonne nouvelle est relative à la sévérité des vulnérabilités : plus elle est élevée, plus le délai entre divulgation initiale et enregistrement dans la base du Nist est bref : « clairement, la communauté et les analystes du Nist accordent plus d’attention aux vulnérabilités les plus sérieuses ». Mais quoi qu’il en soit, les risques sont bien là : « la course commence généralement dès la première publication d’une vulnérabilité ». Et sans surprise, les acteurs malicieux semblent eux aussi concentrer leurs efforts sur les failles les plus critiques.