le Vulnérabilité et expositions courantes (CVE), la norme de l’industrie pour cataloguer les failles de sécurité des logiciels, connaît une croissance si rapide qu’elle ajoutera bientôt quelques crans supplémentaires à sa ceinture : la CVE a déclaré qu’elle prévoyait d’indexer jusqu’à 100 fois plus de vulnérabilités individuelles. chaque année pour accueillir un nombre croissant de rapports de failles logicielles.
Actuellement, lorsqu’une vulnérabilité est signalée ou découverte, un numéro CVE lui est attribué qui correspond à l’année où elle a été signalée, suivi d’un numéro unique à 4 chiffres. Par exemple, une récente faille Java zero-day découverte plus tôt cette année a reçu l’identifiant CVE-2013-0422. Mais dans une publication récente, La société MITRE., l’organisation qui gère l’index, a déclaré qu’elle voulait entendre des commentaires sur plusieurs modifications proposéescomme la modification du CVE pour permettre de cataloguer jusqu’à 999 999 vulnérabilités par an.
« En raison du volume croissant de rapports publics sur les vulnérabilités, le projet Common Vulnerabilities and Exposures (CVE) modifiera la syntaxe de ses identifiants de vulnérabilité standard afin que CVE puisse suivre plus de 10 000 vulnérabilités en une seule année », a annoncé le projet CVE le mois dernier. « La syntaxe actuelle, CVE-YYYY-NNNN, ne prend en charge qu’un maximum de 9 999 identifiants uniques par an. »
Il n’est pas clair si ce changement signifie que les logiciels deviennent de plus en plus bogués ou si simplement plus de gens recherchent des défauts dans plus d’endroits (probablement les deux), mais une nouvelle recherche publiée aujourd’hui suggère que les chercheurs de bogues sont plus incités que jamais à découvrir – et potentiellement à être payés généreusement pour — nouvelles failles de sécurité.
Par exemple, l’un des domaines les plus en vogue de la recherche sur la vulnérabilité se concentre actuellement sur l’espace des systèmes de contrôle industriels – les ordinateurs et les réseaux qui gèrent les systèmes d’infrastructure critiques qui prennent en charge tout, du réseau électrique à la purification de l’eau, en passant par les systèmes de fabrication et de transport. Dans un rapport publié aujourd’hui, une société de sécurité basée à Austin, au Texas Laboratoires NSS a déclaré que le nombre de vulnérabilités signalées dans ces systèmes critiques a augmenté de 600 % en 2010 et a presque doublé entre 2011 et 2012 seulement.
NSS Stefan Frei a trouvé que 2012 a inversé une tendance de longue date à la diminution des divulgations de vulnérabilité chaque année. Dans le même temps, le NSS a suivi une baisse des vulnérabilités signalées par peut-être les deux principales organisations qui paient des chercheurs pour trouver des bogues. Par exemple, a noté Frei, iDéfensec’est Programme de contribution aux vulnérabilités (PCV) et Point de basculement HPc’est Initiative Zero Day (ZDI) ont chacun inversé leur hausse de cinq ans des rapports de vulnérabilité avec une réduction de plus de 50 % en 2012.
Frei suggère une des principales raisons de la baisse des bogues signalés par ZDI et le VCP : les chercheurs qui cherchent à vendre des découvertes de vulnérabilités ont aujourd’hui beaucoup plus d’options qu’à tout moment dans le passé.
« L’année 2012 a vu de nombreux rapports concernant un changement et une expansion des marchés de vulnérabilité et d’exploit », a déclaré Frei. « De plus en plus de fournisseurs de logiciels ont commencé à offrir (ou à augmenter) des récompenses aux chercheurs soumettant leurs découvertes. »
En outre, de nombreux marchés « noirs » souterrains commencent à solliciter et à acheter plus ouvertement des exploits et des informations sur les vulnérabilités, comme cela a été documenté à de nombreuses reprises sur ce blog et ailleurs.
Image : Laboratoires NSS
Mais Charlie Millerun chercheur de bogues bien connu et grand promoteur des chercheurs payés pour trouver des défauts, ont déclaré que ces chiffres reflètent également la réalité qu’il est de plus en plus difficile de trouver des bogues majeurs dans les produits de grands noms d’entreprises comme Pomme et Microsoft. Miller a déclaré que si le nombre de vulnérabilités augmentait d’année en année, c’est parce que plus de gens regardent plus de produits.
« Les vulnérabilités dans » les choses qui nous tiennent à cœur « , j’entends par là les choses que nous utilisons personnellement ou que nous devrons personnellement corriger, ont diminué ou n’ont pas beaucoup augmenté », a déclaré Miller. « Les produits sur lesquels on travaille depuis longtemps ont tendance à devenir assez sûrs. Ce sont toutes ces nouvelles choses que personne n’a jamais auditées qui expliquent tous les nouveaux bogues. Il est assez facile de trouver des vulnérabilités dans des produits qui n’ont jamais fait l’objet d’un examen de sécurité et je pense que c’est ce que nous voyons.
En effet, NSS a suivi une augmentation significative du nombre de nouveaux éditeurs de logiciels qui se sont avérés avoir des produits vulnérables en 2012. Il a également constaté que les systèmes d’exploitation Microsoft et Apple en 2012 ont connu leur plus forte baisse des divulgations de vulnérabilité au cours de la dernière décennie.
Source : Laboratoires NSS
Si vous avez besoin d’aide pour suivre les correctifs disponibles pour les applications tierces, envisagez d’utiliser des outils de gestion des correctifs tels que Inspecteur personnel des logiciels de Secunia ou Vérificateur de mise à jour de FileHippo.
L’analyse des tendances de vulnérabilité de NSS Labs est disponible sur ce lien.