2006, un bon millésime pour les trous
records, mais il risque de ne pas y figurer très longtemps. Plus le temps passe, plus le volume de failles découvertes a tendance à croitre. C'est ce que confirme un expert d'ISS, interrogé par nos grands frères de Network World : en septembre, le score atteint par les compteurs de failles « noyau » Microsoft passait le cap des 871 trous (701 dans le monde Unix). Au total, les chercheurs ont recensé 5300 vulnérabilités depuis le début de l'année, contre un peu moins de 5200 pour toute l'année 2005. La répartition de la criticité des failles semble très irrégulière. Sur ces plus de 5000 trous, 0,4% méritent le qualificatif de « critique ». Ne se voient attribuer cette épithète que les accidents logiciels susceptibles de servir les actions d'un virus d'envergure mondiale. 16 % des failles sont considérées comme d'importance « haute » (désigne les failles autorisant une intrusion ou une exécution à distance), 63% d'une dangerosité moyenne (hack local, élévation de privilège) et 20 % sont considérées comme peu dangereuses (fuite d'information, risque d'attaque en déni de service). L'on se rend compte que cette classification purement technique de la criticité pourrait-être interprétée de manière différente selon le corps de métier de chaque usager. Une attaque en déni de service contre les routeurs d'un fournisseur d'accès Internet ou d'un service d'urgence n'a pas franchement le même impact qu'un DoS sur les serveurs de fichiers d'une entreprise d'import-export. Idem pour une élévation de privilège sur un logiciel d'asservissement de four à hydrogène ou de contrôle de plongée des barres de carbone d'un réacteur. Une attaque virale, même d'envergure, peut paraitre totalement bénigne à coté d'un risque de fuite d'informations, si celle ci touche un laboratoire de recherche pure (un CNRS, une « société Bertin »). Vérité en deçà des Pyrénées, mensonge au-delà. Se pose ensuite la question de la signification de ces statistiques. Découvre-t-on de plus en plus de failles parce que les logiciels deviennent de plus en plus complexes, de plus en plus difficiles à concevoir ? Ou plus simplement parce que les usagers et éditeurs sont désormais mieux sensibilisés à l'idée d'un véritable « contrôle qualité » des productions soft ? A moins que ce ne soit l'expertise des chasseurs de failles, lesquels utilisaient encore des techniques relativement empiriques les années passées, et qui depuis automatisent leurs fuzzing ? C'est tout çà, et plus encore. 2007 nous réserve des surprises et des nuits mouvementées.
