Près de 13 vulnérabilités rendues publiques chaque jour ! C'est ce que publie « MITRE Corporation », l'organisation américaine soutenue par le Département de la Sécurité intérieure des Etats-Unis. Plus connues des professionnels de la sécurité sous le terme CVE (« Common Vulnerabilities and Exposures »), ces informations publiques relatives aux vulnérabilités en terme de sécurité rythment depuis longtemps le planning de nombreux Responsables Sécurité en entreprise.
Voici plus de 10 ans que suite à la découverte d'une vulnérabilité, ou exposition potentielle à celle-ci, les ingénieurs de MITRE attribuent ces identifiants qui font trembler les équipes de développeurs et mettent en alerte les services informatiques du monde entier.
Classés par catégories et par sévérité, chaque CVE regroupe bien souvent en un titre : jargon du développeur et effets dévastateurs potentiels, n'offrant qu'en dernier mot un éventuel espoir d'y échapper. A titre d'exemple, voici les trois premiers CVE publiés :
CVE-1999-0001 : ip_input.c in BSD-derived TCP/IP implementations allows remote attackers to cause a denial of service (crash or hang) via crafted packets
CVE-1999-0002 : Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems
CVE-1999-0003 : Execute commands as root via buffer overflow in Tooltalk database server (rpc.ttdbserverd)
La « National Cyber Security Division » du Département de la Sécurité intérieure met à disposition du public toutes les données présentes dans ses bases et notamment les identifiants CVE. Une consolidation de ces données nous permet alors de constater que malgré une volumétrie annuelle multipliée par 6 en dix ans, la tendance est à une certaine stabilité, tout comme la répartition par sévérité.
Les chiffres projetés sur une moyenne hebdomadaire laissent alors apparaitre toute la difficulté face à laquelle sont confrontés les RSI et leurs équipes.Plus de 100 CVE publiés chaque semaine si nous nous contentons de suivre les seules publications de MITRE. La « National Vulnerability Database » réunit en effet les vulnérabilités CVE mais également les alertes et notes du CERT-US.
Une compilation des données avec regroupement par catégorie, restreinte au TOP 5 - qui représente près de 26% des vulnérabilités - nous renvoie aux standards connus. La croissance du parc des systèmes et applications en ligne depuis quelques années favorise la découverte de problèmes liés aux injections SQL et de Cross-Side Scripting notamment.
Reflet immédiat de nos erreurs de conception, de programmation, d'administration, ces publications viennent, 13 fois par jour, compléter la longue liste des alertes lues par les professionnels de la sécurité informatique. Une longue liste enrichie par les blogs, les lettres d'informations, les annonces des éditeurs, celles des constructeurs et bien entendu les échos recueillis ci ou là par des collègues dans la presse....
A ce rythme, la barre des 45.000 publications sera sans doute franchie avant la fin de l'année 2010. Je ne saurai que donc que trop conseiller à nos lecteurs de porter un regard attentif au travail que font les équipes de MITRE au quotidien. Analysez leurs publications, comparez les composants concernés avec votre parc installé ou hébergé et mettez en œuvre les actions correctives qui s'imposent.
Chez Orange Business, je suis en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services. Mes expériences passées au cœur d'entités opérationnelles m'amènent à porter un regard particulier sur les difficultés de mise en œuvre des politiques et stratégies de sécurité pour les entreprises. Sécurité, efficacité et pragmatisme sont mes principaux axes de réflexion.