Près de 13 vulnérabilités rendues publiques chaque jour ! C'est ce que publie « MITRE Corporation », l'organisation américaine soutenue par le Département de la Sécurité intérieure des Etats-Unis. Plus connues des professionnels de la sécurité sous le terme CVE (« Common Vulnerabilities and Exposures »), ces informations publiques relatives aux vulnérabilités en terme de sécurité rythment depuis longtemps le planning de nombreux Responsables Sécurité en entreprise.
Voici plus de 10 ans que suite à la découverte d'une vulnérabilité, ou exposition potentielle à celle-ci, les ingénieurs de MITRE attribuent ces identifiants qui font trembler les équipes de développeurs et mettent en alerte les services informatiques du monde entier.
Classés par catégories et par sévérité, chaque CVE regroupe bien souvent en un titre : jargon du développeur et effets dévastateurs potentiels, n'offrant qu'en dernier mot un éventuel espoir d'y échapper. A titre d'exemple, voici les trois premiers CVE publiés :
CVE-1999-0001 : ip_input.c in BSD-derived TCP/IP implementations allows remote attackers to cause a denial of service (crash or hang) via crafted packets
CVE-1999-0002 : Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems
CVE-1999-0003 : Execute commands as root via buffer overflow in Tooltalk database server (rpc.ttdbserverd)
La « National Cyber Security Division » du Département de la Sécurité intérieure met à disposition du public toutes les données présentes dans ses bases et notamment les identifiants CVE. Une consolidation de ces données nous permet alors de constater que malgré une volumétrie annuelle multipliée par 6 en dix ans, la tendance est à une certaine stabilité, tout comme la répartition par sévérité.
Plus de 100 CVE publiés chaque semaine si nous nous contentons de suivre les seules publications de MITRE. La « National Vulnerability Database » réunit en effet les vulnérabilités CVE mais également les alertes et notes du CERT-US.
Une compilation des données avec regroupement par catégorie, restreinte au TOP 5 - qui représente près de 26% des vulnérabilités - nous renvoie aux standards connus. La croissance du parc des systèmes et applications en ligne depuis quelques années favorise la découverte de problèmes liés aux injections SQL et de Cross-Side Scripting notamment.
A ce rythme, la barre des 45.000 publications sera sans doute franchie avant la fin de l'année 2010. Je ne saurai que donc que trop conseiller à nos lecteurs de porter un regard attentif au travail que font les équipes de MITRE au quotidien. Analysez leurs publications, comparez les composants concernés avec votre parc installé ou hébergé et mettez en œuvre les actions correctives qui s'imposent.