Lutter contre les failles et vulnérabilités des systèmes et des logiciels fait partie du quotidien des responsables informatiques. D’où l’importance de se tenir informé des attaques en vogue et des failles découvertes.
En matière de sécurité, savoir c’est déjà faire la moitié du chemin pour bien se protéger. C’est particulièrement vrai en matière de failles. Connaître les vulnérabilités des systèmes et logiciels utilisés dans l’entreprise permet de réfléchir à leurs éventuelles conséquences et de prendre rapidement des décisions pour s’en protéger en ajustant les pare-feux par exemple ou en surveillant la mise à disposition des patchs de sécurité.
« Malheureusement, les vulnérabilités sont intrinsèques au développement logiciel. Une dure réalité à laquelle il faut savoir se confronter. Rien que cette année, nos chercheurs ont découvert et rapporté de multiples vulnérabilités sur différents logiciels du marché », écrit Marcin Kleczynski, le CEO de Malwarebytes dans un récent billet, rappelant que les logiciels de sécurité, comme tous logiciels, sont eux aussi susceptibles d’être vulnérables. C’est pourquoi l’éditeur a lancé l’an dernier son programme Malwarebytes Bug Bounty pour encourager encore davantage les chercheurs en sécurité à dévoiler de façon responsable les vulnérabilités découvertes sur les produits Malwarebytes.
Les récentes attaques WannaCry et NotPetya, qui ont défrayé l’actualité ces dernières semaines, ont remis au premier plan l’importance de patcher très régulièrement ses systèmes et logiciels. « Patcher n’est pas une option, rappelait Nicolas Sterckmans de Malwarebytes lors d’une récente interview, c’est probablement la première des bonnes pratiques à observer ». Encore faut-il savoir ce qui mérite d’être patché et pouvoir définir des priorités. Mais où acquérir la connaissance nécessaire à un tel suivi ? Comment faire une veille sur les failles découvertes ? Voici quelques pistes indispensables…
- CVE (Common Vulnerabilities and Exposures) est la référence mondiale en matière de failles et vulnérabilités. Malheureusement, elle n’est pas nécessairement la plus agréable en ce qui concerne la navigation et la recherche.
- fr est l’une des sources francophones les plus utiles, avec des bulletins technologiques en français, une base assez complète et plusieurs flux RSS pour suivre les publications plus facilement.
- CERT-FR, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, qui dépend de l’ANSSI, est la base de données officielle française autour des vulnérabilités. C’est aussi une source indispensable de bonnes pratiques.
- La base de données com est l’une des plus complètes qui soient. Sa fonction de recherche avancée permet de sélectionner un éditeur, puis un logiciel et enfin un numéro de version et d’afficher toutes les vulnérabilités connues s’y rapportant. En cliquant sur l’une des occurrences remontées, vous pouvez connaître non seulement si celle-ci est exploitée (autrement dit si des exploits sont en circulation) et les solutions à implémenter pour s’en protéger.
- Exploit-db.com est le site de référence pour tout savoir sur les exploits en vogue pour pénétrer les défenses des entreprises. Le site recueille et regroupe tous les exploits rencontrés sur Internet (« In The Wild ») ou découverts par des chercheurs du monde entier.
- Le NVD (National Vulnerability Database) est la base d’information officielle du gouvernement américain avec des fonctions de recherche avancée et une mise en évidence des failles les plus critiques.
- L’Enisa (European Union Agency for Network and Information Security) est avant tout une source de bonnes pratiques et de conseils pour protéger ses systèmes d’information.
- Information Security Stack Exchange est un site assez différent du reste de notre sélection. C’est en premier lieu une base de questions et réponses pour les professionnels de la sécurité.
- Source capitale pour toutes les entreprises dont l’activité dépend en partie de Windows et Office, l’ancienne base de bulletins de sécurité de Microsoft a récemment été modernisée et regroupée au sein du Security TechCenter. Son Security Update Guide s’affirme comme l’une des sources d’information les plus claires et les plus lisibles autour des failles de l’univers Microsoft.
- Le blog du National CyberSecurity Institute est certes en anglais, mais il offre une vue pédagogique plutôt que technique sur toutes les attaques du moment.
- LiveHacking est la référence du Hacking éthique. C’est une mine de données et d’informations présentées sous un axe très hacker.
- L’Infosec Institute est un site toujours pratique pour suivre les attaques les plus répandues du moment.
- Le blog de MalwareBytes est également une source d’information essentielle pour tous les acteurs de la sécurité et les RSSI. Il publie notamment chaque semaine un billet « A week in security » qui résume toute l’actualité en matière de malwares et d’exploits. L’information à forte teneur pédagogique est accessible au plus grand nombre. Particulièrement adapté pour tous ceux qui n’ont ni le besoin, ni le temps d’investiguer le sujet au quotidien, ce blog permet d’avoir facilement une vue d’ensemble sur les menaces phares du moment.
