Les entreprises « patchent » vite, mais pas assez
C'est ce qu'il ressort d'une étude réalisée par Qualys -bien entendu un spécialiste de la détection de vulnérabilités-. Si, indiscutablement, les responsables réseau sont sensibilisés et réagissent généralement bien plus rapidement qu'il y a quelques années, le tableau général est tout de même assez pessimiste. 70 % des systèmes « audités » par Qualys seraient vulnérables. En analysant 21 millions de vulnérabilités et étudiant le résultat de 32 millions de « scan » de réseau, les experts Qualys tirent quelques conclusions intéressantes. Ainsi, les procédures de déploiement de correctif seraient en nette amélioration, les temps entre disponibilité de la rustine et application tendant à se réduire (+23 % sur les systèmes internes au réseau ; +10 % sur les systèmes externes). A cette réactivité, l'on doit opposer celle des black hats qui, eux aussi, réagissent de plus en plus rapidement. Le « temps moyen d'exploitation » entre la date de publication d'une alerte et son utilisation malsaine se réduit comme peau de chagrin. 85 % des dommages provoqués par des attaques automatisées sont constatés dans les 15 jours suivant ladite publication. Notons, et ce n'est pas là une remarque issue du rapport Qualys, que de nombreux correctifs ont vu le jour, ces derniers mois, après publication d'un PoC ou d'un exploit... autrement dit après la « mise sur le marché » d'un embryon de souche virale quelconque. Certains de ces exploits ayant fait bien souvent l'objet d'une alerte antérieure de la part d'un chercheur, alerte expédiée à l'éditeur ou équipementier directement concerné et non suivie d'effets. Dans de telles conditions, la fameuse « réduction de la fenêtre de vulnérabilité » est un argument à prendre avec des pincettes. Il faudra deux bons mois, par exemple, avant que la communication de Lynn donne naissance à un code exploitable « in the wild » et commence à inquiéter les administrateurs de baies Cisco. Une fenêtre de vulnérabilité objective devrait partir de la date de première communication à l'éditeur, et non de la première publication faite par l'éditeur au public. Reste à savoir si les Microsoft, Cisco, IBM, Oracle et consorts sont prêts à adjoindre à leurs bulletins des indications sur les « durées de prise en compte de l'alerte », « temps de développement », « nombre de lignes de code concernées/ré-écrites » et « délais de tests de non-régression ». Un tel effort de transparence devrait d'ailleurs mieux expliquer aux usagers combien parfois il est difficile de combler une faille sans déstabiliser d'autres fonctions logicielles. Pour l'heure, toute absence d'information ne peut être considérée que comme une preuve de mauvaise volonté et le désir absolu d'étouffer dans l'oeuf toute vision objective du processus de correction de bug. Revenons à l'étude Qualys avec cette « révélation » statistique : Le Wireless est moins dangereux que ne le prétendent les médias (et leurs sources d'informations alarmistes). Une seule menace sur 20 000 alertes passées au crible. En revanche, le « maillon faible » qui a la cote, c'est le poste client. Plus de 60 % des vulnérabilités critiques nouvellement découvertes concernent des applicatifs « station », très souvent exploitées via des attaques en XSS ou des courriers infectés ou au contenu spoofé. Il faut le reconnaître, les navigateurs Web et interprètes html divers (notamment ceux des U.A. de mail), ont beaucoup fait parler d'eux durant ces 15 derniers mois et doivent, sans l'ombre d'un doute, peser fort cher dans la balance des menaces comptabilisées.