Web et sécurité : un mariage difficile selon IBM

Stéphane Bellec

01net.

le 09/09/2009 à 14h02

1 réaction

envoyer
par mail

imprimer
l'article

Les différents types d'attaque

agrandir la photo

Paru le 27 août dernier, le rapport bi-annuel des équipes de sécurité X-Force de Big Blue fait état d'une forte croissance des vulnérabilités recensées pour les applications Internet, l'injection SQL et le cross-site scripting se disputant la place d'attaque numéro un.

Si la première tente d'insérer du code dans les champs utilisateurs pour infiltrer le serveur de base de données hôte, la seconde manipule les URL pour y injecter du script afin de récupérer des informations sur les utilisateurs.

Au total, les applications Web cumulent près de 18 000 types de failles en cette fin de semestre, contre 4 000 en 2005. Une hausse considérable étant donné la difficulté des éditeurs et des développeurs à mettre rapidement à disposition les patchs correspondants.

Microsoft détrôné par Apple et Sun

Avec 122 failles au catalogue, l'éditeur de Mac OS X s'est placé selon IBM en pole position du top 10 des revendeurs les plus touchés, devant Sun et Microsoft. Mais X-Force met aussi l'accent dans son rapport sur la réactivité dans la fourniture des correctifs.

Les différentes exploitations des vulnérabilités

agrandir la photo

Ainsi, Joomla!, en dixième position du classement évoqué plus haut avec seulement 40 vulnérabilités recensées, arrive cependant en tête des éditeurs les moins dynamiques, car il ne corrige que 20 % d'entre elles.

L'expert insiste également sur la capacité à communiquer autour des vulnérabilités, en prenant pour exemple le célèbre Conficker. En 2006, ISS (le département sécurité d'IBM, dont dépendent les équipes X-Force) l'a signalé à Microsoft, qui n'a proposé un correctif qu'en 2008. L'erreur en l'occurrence tient surtout au fait que l'éditeur a commencé à communiquer sur la faille avant que le patch ne soit complètement déployé, ce qui a entraîné les dégâts que l'on sait.