jeudi 13 août 2020
Promotion Meilleur VPN 2020
Accueil Réseau & Sécurité Firewall Spécial sécurité : Tout savoir sur les vulnérabilités de sites

Spécial sécurité : Tout savoir sur les vulnérabilités de sites

Nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d’information, relaient un rapport de la société White Hat qui, chiffres à l’appui, décortique les failles qui habitent les sites Web. XSS connaît aujourd’hui son heure de gloire. Autre rapport, mais cette fois-ci qui met en avant l’incompétence des britanniques à sécuriser leur réseau WiFi domestique. Nos confrères pointent enfin du doigt l’épineuse question d’interopérabilité entre les firewall ancienne génération et ceux plus récents, en s’appuyant sur une étude Skybox Security.

 

Tout savoir sur les vulnérabilités de sites

Les XSS sont sur le point d’être dépassés par les fuites d’information (64 % des sites frappés), loin devant les risques de spoofing de contenu (43%) ou de forgerie de requêtes en cross site (24 %). La majorité des sites Web dans le monde est affectée par au moins une vulnérabilité différente par jour. Constat certes pessimiste, mais qui s’explique par la frénésie de perfectionnements, d’améliorations fonctionnelles et d’enrichissements divers que l’on apporte en permanence aux serveurs Internet. Ce constat est dressé par un récent rapport publié par White Hat (inscription obligatoire), entreprise dirigée par le célèbre Jeremiah Grossman. Cette fièvre d’enrichissements (et les vulnérabilités nouvelles qui l’accompagnent) est souvent plus rapide que ne le sont les campagnes de conception et de déploiement de correctifs. La fenêtre de vulnérabilité qui caractérise chaque site est donc accrue, ce qui permet d’estimer à 9 mois par an (270 jours) la « période de faillibilité moyenne » d’un site. Fenêtre d’autant plus difficile à réduire que certains bugs de conception dépendent d’applications écrites « à façon », donc non standard et ne pouvant bénéficier d’un correctif d’éditeur prêt à consommer. L’Owasp a encore bien du chemin à parcourir.

Les 15 pages du rapport fourmillent de métriques, notamment sur les temps de déploiement de patch par secteur industriel. En volume de failles « sérieuses » (exploitables), c’est le secteur de la distribution qui est le plus touché, avec une moyenne de 404 « trous » par an, suivi par le secteur de la finance (266 failles) et des télécoms (215). Les secteurs « sensibles » sont plus prompts à balayer devant leur porte. Ainsi, dans le domaine bancaire, cette « moyenne annuelle des trous » tombe à 30, à 33 dans le secteur médical, 111 dans le milieu IT… et 35 seulement dans le domaine de la production industrielle.

A noter également que les risques en fonction de l’activité sectorielle peuvent varier du tout au tout. La proportion d’attaques potentielles en brute force ou en injection SQL est bien plus importante dans les secteurs bancaire, IT, distribution et finance que dans les domaines de l’éducation, de la santé ou des produits manufacturés.

De l’inculture informatique britannique

Le Reg rapporte les résultats édifiants d’un sondage réalisé par l’ICO (les anges-gardiens de la vie privée en Grande Bretagne), et se penchant sur la sécurisation des réseaux sans fil familiaux : deux Britanniques sur cinq n’ont aucune idée des procédures à suivre pour modifier les réglages sécurité de leurs routeur sans fil. Sur un échantillonnage de 2000 adultes, il apparaîtrait même que 16 % d’entre les sondés sont incapables de dire si oui ou non leur réseau WiFi est sécurisé. Manque de clarté des documentations émises par les FAI, absence de règles écr ites sur les « politiques de mots de passe » déplore l’ICO. On retombe, estiment nos confrères du Reg, dans le syndrome de « l’impossible programmation du magnétoscope ».

En France, où existe fort heureusement le délit d’incompétence informatique et où chaque individu est tenu responsable d’une non-protection de ses routeurs, l’on a pu, depuis l’adoption de la loi Hadopi, constater une très forte augmentation des serveurs RADIUS installés dans les foyers Français, l’enseignement de Wireshark dans les écoles primaires et les maisons de retraite est devenu obligatoire, et chaque Ministre maîtrise désormais parfaitement les arcanes du remplacement du protocole WAP au sein d’un firewall OpenOffice. Pauvres Gibis, qui devraient prendre exemple sur nous …

Firewall : vers un conflit de génération

Skybox Security est un éditeur spécialisé dans la gestion et l’administration des firewalls. L’étude que cette entreprise vient de publier est donc partielle, partiale, mais soulève tout de même quelques interrogations.

Les « enquêteurs » de Skybox ont profité de la récente RSA Conference de San Francisco pour interroger une cinquantaine de RSSI participants. 42% d’entre eux ont déployé plus de 100 passerelles de filtrage réseau, 67% déclarent utiliser des équipements hétérogènes, de marques différentes (tant par « héritage » que pour des raisons de sécurité). 54% des sondés avouent que la gestion de ces firewall occupe 5 personnes à temps plein en permanence, et 21 % seulement des personnes interrogées déclarent utiliser des automates de gestion de FW.

Mais le plus intéressant est à venir…. 15% des RSSI questionnés ont déployé des « Firewalls de nouvelle génération »… 27% envisagent de le faire dans le courant de l’année. La granularité plus fine des gestions de droits offerte par ces NGFW pose deux types de problèmes : d’une part un accroissement de la charge de travail pour les personnes déjà chargées de l’administration « manuelle » des firewall, et d’autre part le mariage de ces appareils avec ceux de plus ancienne génération. Les politiques de sécurité et profils définis entre ces deux générations d’équipements posent quelques problèmes épineux de correspondance et de standardisation.

 

Source : LeMagIT
UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Ransomware Maze : Après LG et Xerox, au tour de Canon d’être piégé

Le groupe de cybercriminels exploitant le ransomware Maze poursuit ses actions et agrandit son tableau de chasse en ajoutant Canon avec à la clé un vol de 10 To de données à l'entreprise après infection de ses systèmes informatiques.

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.