REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE
Ministere de l'Enseignememt Superieur et de la Recherche Scientifique

Général


Ressources


Avis de l'expert


WAPKAYANET

Service WAP

 Accédez à nos actualités sur votre téléphone mobile et consultez les dernières alertes de sécurité en temps réel à l'adresse :


http://www.wikayanet.dz/
wap/index.wml 



Contact
 Vulnérabilités découvertes et non corrigées: un pas pour le pirate

piratage & intrusionLe nombre élevé de vulnérabilités non patchés annoncées par les différents éditeurs de sécurité informatiques offrent aux pirates des portes ouvertes pour lancer leurs attaques. Une fois la faille comprise, il suffit au pirate de trouver une application vulnérable en fonctionnement pour lancer son attaque.

La durée moyenne pour sortir un correctif de sécurité pour les vulnérabilités critiques est de 6 à 9 mois (d'après VUPEN Security). Cette durée, entre la découverte d'une vulnérabilité et la sortie d'un patch crée une fenêtre d'exposition au cours de laquelle les criminels peuvent retrouver une faille déjà annoncé pour un logiciel et non encore patché.

Pour éviter ce problème qui menace toutes les organisations, des mesures doivent être appliquées du coté d'éditeurs de sécurité et du côté des organisations concernées qui pourraient être une cible facile pour les cybercriminels de plus en plus en puissance.

Du côté d'éditeurs de sécurité:

Afin de répondre à sa mission de sensibiliser les organisations contre toute menace informatique, un service de veille en sécurité informatique doit assurer que:

  • La faille découverte me soit pas directement diffusée publiquement;
  • Informer, immédiatement le fournisseur de l'application vulnérable; 
  • La mise en garde des clients utilisant l'application soit en discrétion;
  • Une fois le patch disponible, l'information doit immédiatement parvenir aux clients concernés.

Exemple: le service PPT de VUPEN Security

VUPEN Security a mis en place un programme Threat Protection Program (PPT) qui vise à fournir des rapports de recherche et d'orientation exclusives pour des failles divulguées en interne par les chercheurs de sécurité VUPEN, fournissant en temps opportun, des informations pour aider à atténuer les risques d'exploit. Il s'agit d'une approche proactive pour aider les organisations à prendre des décisions en réponse à des menaces potentielles en temps réel et avant la divulgation publique. En même temps le fournisseur du logiciel vulnérable est informé afin qu'il puisse développer un patch sous contrat permanent avec VUPEN. Ce programme est uniquement disponible pour les gouvernements et les organismes d'application de la loi dans les pays membres de l'OTAN, ANZUS, de l'ASEAN

Du côté des organisations (utilisateurs):

Malgré l'arsenal sécuritaire existant pour protéger le système d'information pour une entreprise, celle ci demeure faible devant le problème cité en haut. Pour atténuer le risque d'être victime d'exploit pour une vulnérabilité non patchée: l'utilisateur (l'organisation) doit :

  • Installer (ou mettre à jour à) des versions récentes pour toutes ses applications informatiques utilisées;
  • Etre en contact permanent avec un service de veille en sécurité informatique (des abonnements sont disponibles pour communiquer en temps réel des failles annoncées par des éditeurs fiables); 
  • Appliquer les patchs des qu’ils soient disponibles;
  • Cacher les applications utilisées, dans la mesure du possible, c'est également cacher les failles qui rend le système une cible facile.

 

Vu le nombre important de failles annoncées, chaque jour, dans les logiciels propriétaires, Il est fortement recommandé aux entreprises d'utiliser des applications libres (open source) dans leurs systèmes d'information.

 

Référence:

VUPEN Security 



 
Liens connexes
· Plus à propos de piratage & intrusion

L'article le plus lu à propos de piratage & intrusion:
5 secondes pour craquer un mot passe Windows



Options


Sujet(s) Associé(s)

Newspiratage & intrusionvulnérabilité




  © 2004 BSL, CERIST. All Rights Reserved.Charte de Vie Privée