SANS : Le danger est dans le poste de travail
Avec les premières neiges tombent les rapports annuels relatant ce qui s'est passé, avant que ne sorte à la hune de tous les média les « prévisions » pour l'année à venir. Activité virale, sinistralité générale, évolution des exploits et des défenses périmétriques... Cette fois, c'est le Sans Institute qui nous offre son traditionnel « Top 20 des plus belles vulnérabilité 2007 ». Le constat est évident : les problèmes techniques semblent affecter considérablement plus les logiciels clients que les applications serveur. Est-ce en raison d'une plus grande activité de la part des chercheurs en sécurité, ou en fonction de l'importance des attaques viralo-spywaresques ? Les chercheurs de Caroline ne se prononcent pas. Premier toutes catégories -et détenteur du maillot jaune depuis déjà de nombreuses années- le navigateur Web (premier I.E., second Firefox) et son cortège de centaines de vulnérabilités ActiveX, de menaces à coups de BHO (voir article suivant) et d'appliquettes maléfiques. La seconde place échoit aux suites bureautiques, notamment grâce au soutient actif d'Internet Explorer, lequel se charge généralement de l'ouverture automatique des documents Office expédiés sous forme liens Web ou de ressources réseau. Si les attaques MS-Word connaissent une croissance pratiquement normale (+40% environ par rapport à l'an passé) les assauts à l'aide de documents Excel forgés sont pratiquement 12 fois plus nombreux qu'en 2006. La troisième place est, sans surprise, arrachée par les clients de messagerie, un autre tenant historique du titre dans cette course à la sinistralité. Viennent ensuite les applications secondaires, tels quel les lecteurs multimédia (et une belle tête de gagnant portée par Apple, avec Quicktime). Il faudra attendre la cinquième place pour voir apparaître une application « serveur » -bien sur, il s'agit des applications Web-. C'est ici le règne des failles PHP, des attaques par injection SQL, du Cross Site Scripting, et d'un nouveau venu qui fait de plus souvent parler de lui, le Cross-site request forgeries (CSRF). Viennent ensuite les services liés aux noyau, au système d'exploitation, Windows en tête, immédiatement suivi par les bugs Macintosh et Unix. Le peloton de queue regroupe des menaces plus rares, liées aux logiciels de sauvegarde par exemple, aux serveurs d'infrastructure (DNS et autres annuaires, serveurs d'administration et de gestion, passerelles de communication et de filtrage de contenu, SGBD...). Le cortège est clôt par les dangers apportés soit par des pratiques discutables -mauvaise gestion des droits utilisateurs-, des malversations utilisant les ressorts humains -phishing -, des erreurs commises par les usagers ou l'administrateur -pertes d'ordinateurs portables, absence de chiffrement des données « mobiles »-. Les « nouvelles » applications liées à Internet (Messagerie instantanée, P2P, VoIP) laissent elles aussi présager un futur assez sombre.
