Spécial sécurité : Tout savoir sur les vulnérabilités de sites 

Sommaire
1 - Tout savoir sur les vulnérabilités de sites
2 - De l’inculture informatique britannique
3 - Firewall : vers un conflit de génération

1 - Tout savoir sur les vulnérabilités de sites
Les XSS sont sur le point d’être dépassés par les fuites d’information (64 % des sites frappés), loin devant les risques de spoofing de contenu (43%) ou de forgerie de requêtes en cross site (24 %). La majorité des sites Web dans le monde est affectée par au moins une vulnérabilité différente par jour. Constat certes pessimiste, mais qui s’explique par la frénésie de perfectionnements, d’améliorations fonctionnelles et d’enrichissements divers que l’on apporte en permanence aux serveurs Internet. Ce constat est dressé par un récent rapport publié par White Hat (inscription obligatoire), entreprise dirigée par le célèbre Jeremiah Grossman. Cette fièvre d’enrichissements (et les vulnérabilités nouvelles qui l’accompagnent) est souvent plus rapide que ne le sont les campagnes de conception et de déploiement de correctifs. La fenêtre de vulnérabilité qui caractérise chaque site est donc accrue, ce qui permet d’estimer à 9 mois par an (270 jours) la « période de faillibilité moyenne » d’un site. Fenêtre d’autant plus difficile à réduire que certains bugs de conception dépendent d’applications écrites « à façon », donc non standard et ne pouvant bénéficier d’un correctif d’éditeur prêt à consommer. L’Owasp a encore bien du chemin à parcourir.

Les 15 pages du rapport fourmillent de métriques, notamment sur les temps de déploiement de patch par secteur industriel. En volume de failles « sérieuses » (exploitables), c’est le secteur de la distribution qui est le plus touché, avec une moyenne de 404 « trous » par an, suivi par le secteur de la finance (266 failles) et des télécoms (215). Les secteurs « sensibles » sont plus prompts à balayer devant leur porte. Ainsi, dans le domaine bancaire, cette « moyenne annuelle des trous » tombe à 30, à 33 dans le secteur médical, 111 dans le milieu IT… et 35 seulement dans le domaine de la production industrielle.

A noter également que les risques en fonction de l’activité sectorielle peuvent varier du tout au tout. La proportion d’attaques potentielles en brute force ou en injection SQL est bien plus importante dans les secteurs bancaire, IT, distribution et finance que dans les domaines de l’éducation, de la santé ou des produits manufacturés.

2 - De l’inculture informatique britannique
Le Reg rapporte les résultats édifiants d’un sondage réalisé par l’ICO (les anges-gardiens de la vie privée en Grande Bretagne), et se penchant sur la sécurisation des réseaux sans fil familiaux : deux Britanniques sur cinq n’ont aucune idée des procédures à suivre pour modifier les réglages sécurité de leurs routeur sans fil. Sur un échantillonnage de 2000 adultes, il apparaîtrait même que 16 % d’entre les sondés sont incapables de dire si oui ou non leur réseau WiFi est sécurisé. Manque de clarté des documentations émises par les FAI, absence de règles écr ites sur les « politiques de mots de passe » déplore l’ICO. On retombe, estiment nos confrères du Reg, dans le syndrome de « l’impossible programmation du magnétoscope ».

En France, où existe fort heureusement le délit d’incompétence informatique et où chaque individu est tenu responsable d’une non-protection de ses routeurs, l’on a pu, depuis l’adoption de la loi Hadopi, constater une très forte augmentation des serveurs RADIUS installés dans les foyers Français, l’enseignement de Wireshark dans les écoles primaires et les maisons de retraite est devenu obligatoire, et chaque Ministre maîtrise désormais parfaitement les arcanes du remplacement du protocole WAP au sein d’un firewall OpenOffice. Pauvres Gibis, qui devraient prendre exemple sur nous …

3 - Firewall : vers un conflit de génération
Skybox Security est un éditeur spécialisé dans la gestion et l’administration des firewalls. L’étude que cette entreprise vient de publier est donc partielle, partiale, mais soulève tout de même quelques interrogations.

Les « enquêteurs » de Skybox ont profité de la récente RSA Conference de San Francisco pour interroger une cinquantaine de RSSI participants. 42% d’entre eux ont déployé plus de 100 passerelles de filtrage réseau, 67% déclarent utiliser des équipements hétérogènes, de marques différentes (tant par « héritage » que pour des raisons de sécurité). 54% des sondés avouent que la gestion de ces firewall occupe 5 personnes à temps plein en permanence, et 21 % seulement des personnes interrogées déclarent utiliser des automates de gestion de FW.

Mais le plus intéressant est à venir…. 15% des RSSI questionnés ont déployé des « Firewalls de nouvelle génération »… 27% envisagent de le faire dans le courant de l’année. La granularité plus fine des gestions de droits offerte par ces NGFW pose deux types de problèmes : d’une part un accroissement de la charge de travail pour les personnes déjà chargées de l’administration « manuelle » des firewall, et d’autre part le mariage de ces appareils avec ceux de plus ancienne génération. Les politiques de sécurité et profils définis entre ces deux générations d’équipements posent quelques problèmes épineux de correspondance et de standardisation.