Selon le rapport de la division X-Force – la branche recherche d’ISS -, 94 % des logiciels exploitant des failles de navigateur Web sont diffusés dans les 24h qui suivent la publication de la vulnérabilité concernée : c’est la multiplication des attaques dites « zero-day ». La branche sécurité d’IBM entrevoit là l’adoption d’outils de développement automatisés pour les l’exploitation des failles par les cybercriminels.
Mais plus que le navigateur Web, ce seraient ses extensions, les plug-ins, qui seraient devenues les cibles privilégiées des pirates : au premier semestre 2008, environ 78 % des attaques concernant les navigateurs Web visaient en fait leurs plug-ins.
X-Force relève aussi la croissance marquée des failles conduisant à des attaques par injection SQL : elles seraient passées de 25 % des vulnérabilités des serveurs Web en 2007 à 41 % au premier semestre 2008.
Promouvoir une nouvelle approche
Mais la division X-Force pointe aussi indirectement du doigt les éditeurs, et, explicitement, les experts de la sécurité. Aux premiers, la branche sécurité d’IBM semble reprocher - sans l’assumer pleinement - la multiplication des failles : dans un communiqué, le directeur exécutif d’X-Force, Kris Lamb, évoque ainsi rapidement « la prolifération des vulnérabilités. »
Les experts de la sécurité sont visés pour leurs méthodes de communication. Kris Lamb accuse ainsi l’absence de « processus unifié de divulgation des vulnérabilités » de risquer « d’alimenter les activités criminelles en ligne. » Pour lui, « il y a une raison à ce que X-Force ne publie pas de code d’exploitation pour les failles que nous avons trouvées, et il est peut-être temps pour nos confrères de revoir leurs méthodes. »
Par Matthias
Tous les services du MagIT sur