Les vulnérabilités en chiffre : projections 2008
Il n'est ni technique, ni catastrophiste, ce rapport rédigé par Nevis Lab. Il se contente de faire état des risques potentiels pour 2008, après un travail de bénédictin consistant à répertorier les principales vulnérabilités de l'année passée, catégorie par catégories. Ainsi, sur le front des trous ActiveX, en forte croissance liée à l'usage intensif d'outils de fuzzing, l'auteur espère une forte diminution du nombre d'alertes durant l'année à venir. En seconde position dans la catégorie « trous appréciés », viennent les problèmes liés aux formats de fichiers. Microsoft a beaucoup souffert de ce genre de chose durant les années précédentes, ce sera désormais aux « autres » de prendre la relève. Et de citer notamment Adobe, qui fit, ces derniers temps, l'objet de plusieurs alertes de ce type. La troisième place du podium vulnérabilités échoit aux antivirus. Inutile de rappeler les derniers travaux de Thierry Zoller sur ce sujet, ni de préciser que l'auteur « anonyme » du rapport Nevis est très probablement le chercheur SoWhat qui, cette semaine encore, publiait une alerte signalant une mauvaise gestion des formats uuencode dans les produits TrendMicro. Ces inconsistances propres aux antivirus devraient être également constatées dans les « compléments » de plus en plus nombreux qui entourent ce genre de programmes, et notamment les firewalls logiciels qui équipent ces suites de protection périmétriques. Viennent ensuite, par ordre d'importance, les vulnérabilités concernant les messageries instantanées, les outils de virtualisation (décidément, HyperV et 3i commencent à prendre des tournures de « bug de l'an 2000 »), Vista (enfin !?), les bugs « driver level » -ah, une chose que l'on attend au moins depuis le fameux hack des pilotes Atheros WiFi du Macintosh-, la VoIP - c'est là presque un « classique » du genre- et les environnement et équipements mobiles.
