Vulnérabilités logicielles : un marché florissant

Selon NSS Labs, gouvernements, criminels et revendeurs auraient accès à au moins 58 nouvelles vulnérabilités logicielles exclusives chaque jour. Des vulnérabilités qui resteraient inconnues du public en moyenne 151 jours.

Etudier le marché des vulnérabilités logicielles n’est pas facile. Et NSS Labs le reconnaît volontiers. Toutefois, le sujet semble suffisamment important pour le cabinet de conseil en sécurité pour qu’il se penche dessus : « les vulnérabilités qui ne sont connues que de groupes fermés privilégiés, tels que les cybercriminels, les revendeurs et les gouvernements, constituent un risque concret et réel pour tous ceux qui utilisent les logiciels affectés. » Et ces vulnérabilités semblent nombreuses.

Revendiquant l’analyse de « dix ans de données de deux grands programmes d’achat de vulnérabilités », NSS Labs estime que « chaque jour depuis trois ans, les groupes privilégiés ont eu accès à au moins 58 vulnérabilités visant [les produits] Microsoft, Apple, Oracle ou encore Adobe. » Tout aussi préoccupant, « ces vulnérabilités sont restées privées en moyenne 151 jours ». Comprendre que les fournisseurs concernés n’en ont pas eu connaissance et n’ont, dès lors, pas eu l’occasion de fournir de correctif avant ce délai.

Selon NSS Labs, les spécialistes des vulnérabilités dites zero-day proposent leurs services à des tarifs très accessibles pour « un attaquant déterminé », « par exemple 25 vulnérabilités par an pour 2,5 M$ ». Et, ensemble, environ six fournisseurs d’exploits « ont la capacité de fournir plus de 100 exploits par an ».
 
En conclusion, le cabinet recommande aux professionnels de la sécurité de ne pas sous-estimer la menace, et aux entreprises de partir du principe que « leur réseau est déjà compromis et qu’il continuera de l’être ». Dans un tel contexte, NSS Labs conseille le déploiement « d’outils et de processus qui détectent et colmatent rapidement des intrusions réussies ». Pour le cabinet, la réponse à une intrusion ne doit plus être considérée comme une « exception » mais doit faire l’objet d’un processus méthodique.
Les éditeurs ne sont pas oubliés : le cabinet les appelle à généraliser les programmes récompensant les découvertes de vulnérabilités dans leurs produits. 

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)