Les menaces bien connues font encore trop de dégâts
Selon une étude HP, chacune des dix vulnérabilités les plus exploitées l’an passé s’appuie sur du code vieux de plusieurs années, voire décennies.
Las mauvaises herbes ont la vie dure, dit l’adage. A en croire les résultats de la dernière édition de l’étude HP sur le visage de la menace, cela s’applique également au vieux code vulnérable.
Ainsi, selon cette étude, 44 % des brèches connues de l’an passé « trouvent leur origine dans les vulnérabilités vieilles de 2 à 4 ans ». Et les dix vulnérabilités les plus utilisées en 2014 reposent sur « code écrit il y a plusieurs années voire décennies ». Des opportunités que HP qualifie « d’avenues », tout en soulignant que « les attaques venant des années passées continuent de constituer une menace significative pour la sécurité des entreprises ». Et le groupe de recommander une « stratégie d’application de correctifs complète pour assurer que les systèmes sont à jour avec les plus récentes protections de sécurité ».
Il est plus que temps que développement logiciel soit synonyme de développement logiciel sûr.
Mais HP souligne en outre l’importance des défauts de configuration. Ce qui touche tout particulièrement les applications Web qui sont, à 82 %, sujettes à des « problèmes d’environnement », contre 70 % des applications mobiles. Sans surprise, les défauts de configuration constituent la première vulnérabilité pour les applications Web. De quoi souvent permettre l’accès à des fichiers et à des dossiers censés ne pas être accessibles aux internautes.
Sans surprise, HP se penche également sur les risques que génèrent les nouvelles technologies introduites dans l’environnement IT des entreprises. De quoi mettre l’accent sur les logiciels malveillants visant les terminaux mobiles, mais également ceux des points de vente dont les vulnérabilités n’ont pas manqué de faire les gros titres en 2014, avec Target, Home Depot, ou encore Neiman Marcus. Et d’appeler les entreprises à comprendre les risques assortis aux nouvelles technologies avant de les adopter, évoquant notamment les objets connectés.
Enfin, HP souligne le besoin pour des pratiques de développement plus sûres : « les professionnels de la sécurité ont découvert que la plupart des vulnérabilités viennent d’un nombre relativement petit d’erreurs de programmation courantes ». Et même si ces erreurs ont largement été documentées, « nous continuons de voir des vieilles et nouvelles vulnérabilités dans les logiciels, que les attaquants peuvent exploiter aisément ». Dès lors, pour le groupe, « c’est peut-être difficile, mais il est plus que temps que développement logiciel soit synonyme de développement logiciel sûr ».