Sans « Top 20 » : un recul de 6 ans

le 24/11/2005, par Marc Olanié, Documentation, 337 mots

Bilan décourageant que celui émis par le Sans dans son tout dernier « Top 20 » des vulnérabilités remarquables. Depuis des années, les attaques principales émises par les pirates se sont concentrées sur les noyaux et les failles réseau -directement dépendantes des gestionnaires de réseaux, NOS en anglais-. Face à ces menaces, les éditeurs et équipementiers ont peu à peu réagi, mettant en place -en traînant des pieds- un ensemble de procédures automatiques de mises à niveau et d'applications de correctifs. Depuis grosso modo le début 2005, c'est vers les applications elles-mêmes que se retournent les casseurs de codes. Et là, les « usines à patch » et autres filières de distribution automatique de correctifs brillent par leur absence, ou presque. « Nous nous retrouvons peu ou prou dans une situation identique à celle que nous connaissions il y a 6 ans, aussi démunis face aux attaques, aussi impuissants face à l'urgence de certains correctifs... lorsqu'ils sont publiés » déclarent en substance les rapporteurs du Sans. Cette montée des exploits touchant les « applications » et les architectures « cross platform » semble même plus inquiétante que ne veut bien le dire le Sans. Il y a 6 ans, les « méchants d'en face » étaient en majorité des script kiddies. Destructeurs, certes, mais pas fondamentalement dangereux, et en tous cas partisans d'une publicité tonitruante. Depuis, est apparu un nombre croissant de hackers noirs nettement moins visibles, plus discrets, mais capables d'infliger des pertes irrémédiables aux sociétés commerciales. Le trou de sécurité applicatif non seulement place les usagers dans une situation de dénuement technique certaine, mais en outre bénéficie de moins en moins de médiatisation. Or, sans médiatisation, sans cette « crainte d'impact sur l'image de marque », il y a fort à parier que les éditeurs se feront tirer l'oreille pour publier des correctifs officiellement, en temps et en heure. On constate déjà de tels effets pervers en voyant débouler sur les serveurs de déploiement des « super rustines » englobant 5, 10, voir une cinquantaine de correctifs. Autant de bugs dormants qui ne se voient semi-officialisés -ou semi-minimisés- que plusieurs mois après leurs dates de première signalisation.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...