Sécurité : vulnérabilités et injonctions paradoxales

A la suite de l'attaque dont a été victime Google en janvier 2010, le CERTA, autorité de sécurité en France rattaché au 1er ministre, a émis le 15 janvier 2010 un avis préconisant l'utilisation d'un navigateur alternatif à Internet Explorer. Le 21 janvier, l'éditeur se fendait d'une mise à jour. Il y avait le feu au lac. Mais toutes les failles découvertes font-elles l'objet d'un correctif ? Peut-on communiquer sur une faille de sécurité ? Comment détecter les vulnérabilités attachées aux logiciels utilisées ?

Les failles non corrigées à ce jour

Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n'ont toujours pas fait l'objet de correctifs à ce jour. Elles sont, pour l'essentiel, liées à l'utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l'emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.
CERTA-2005-ALE-013 Version  PDF Vulnérabilité dans Citrix Metaframe Presentation (07 octobre 2005)
CERTA-2005-ALE-016 Version  PDF Vulnérabilité de Microsoft Windows RPC (18 novembre 2005)
CERTA-2006-ALE-008 Version  PDF Vulnérabilité d'ExtCalendar (11 juillet 2006)
CERTA-2007-ALE-016 Version  PDF Vulnérabilité d'Oracle 10g (16 novembre 2007)
CERTA-2007-ALE-011 Version  PDF Vulnérabilité du composant d'indexation des serveurs Microsoft IIS (10 octobre 2008)
CERTA-2008-ALE-006 Version  PDF Vulnérabilités dans HP OpenView NNM (18 avril 2008)
CERTA-2008-ALE-013 Version  PDF Vulnérabilité du service sadmind de Sun Solaris (17 octobre 2008)
CERTA-2009-ALE-017 Version  PDF Vulnérabilités dans l'implémentation TCP/IP de divers produits (11 septembre 2009)
CERTA-2009-ALE-014 Version  PDF Multiples vulnérabilités du client de messagerie Mozilla Thunderbird (25 août 2009)
CERTA-2009-ALE-019 Version  PDF Vulnérabilité dans Windows 7 et Windows Server 2008 R2 (16 novembre 2009)
CERTA-2009-ALE-022 Version  PDF Vulnérabilité dans TANDBERG MXP (11 décembre 2009)

Publier une faille de sécurité est un délit pénal !

Le 9 septembre 2009, la cour d'appel de Paris, statuant en référé, a confirmé l'ordonnance de référé du 26 janvier 2009. Dans son arrêt, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. A la suite d'une affaire datant de mars 2006, la Cour de cassation a rappelé le 27 octobre 2009 la loi qui s'exprime au travers de l'article 323-3-1 du Code pénal introduit par la Loi sur l'Economie Numérique du 21 juin 2004 : "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée."

Et pourtant !

Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l'occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.

Que faire ?

Nessus, scanner de vulnérabilitésIl existe de nombreux scanners de vulnérabilités sur le marché. Mais, en la matière, c'est, une fois de plus, du côté de l'Open Source que vous trouverez votre bonheur avec Nessus. Simple de mise en place, il s'exécute indifféremment sous Linux et sous Windows. Il comprend une très large liste de plugins qui vous permettront d'analyser la majeure partie des vulnérabilités publiées par les éditeurs ! Restent toutes les autres...

Dsfc Dsfc

Sécurité : vulnérabilités et injonctions paradoxales
0 votes, 0.00 avg. rating (0% score)
Tags : , , , , ,
Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)


*