Le Dark Web et les médias premiers au courant des nouvelles failles

Une étude montre que les failles de sécurité sont d’abord connues sur les médias ou sur le Dark Web avant d’être référencées dans une base officielle.

En matière de sécurité, l’information sur le type de vulnérabilités est primordiale et la rapidité pour avoir cette donnée est tout aussi essentielle. Il existe des classements comme les CVE au sein de la National Vulnerability Database du NIST (National Institute of Standards and Technology). Mais si vous voulez être les premiers informés, inutiles de vous retourner vers ces institutions.

Selon le spécialiste de threat intelligence, Recorded Future, la personne sera mieux inspiré de traîner sur les sites d’actualités, les blogs, les médias sociaux et pour les plus téméraires d’arpenter les forums undreground et les recoins du Dark Web. La firme américaine a analysé des données de sécurité depuis 2016 soit 12 500 bugs. Elle a constaté un décalage moyen de 7 jours entre la révélation de la faille et l’intégration dans la base de données NIST. Recorded Future considère que ce délai constitue un risque important pour les entreprises et remet en cause la fiabilité des canaux de diffusion. Dans son étude les deux extrêmes montrent un délai d’un jour entre la divulgation et la classification pour le plus rapide, le plus lent affiche un délai de 172 jours. Parmi les fournisseurs, Microsoft et Adobe sont considérés comme rapides, alors qu’IBM et Apache sont plutôt lents.

vuln_disclosure_lag

L’exemple de Dirty Cow

Une vulnérabilité sur 20 (5%) a été publiée sur le Dark Web avant sa classification NIST, avec un niveau de gravité très élevée. Les cybercriminels sont à la recherche de failles permettant l’exécution de code à distance, provoquant des élévations de privilèges. La moyenne de gravité d’une vulnérabilité sur le Dark Web est de 7,2, contre 6 pour les CVE non disponibles sur le Dark Web.

Recorded Future prend l’exemple de la faille Dirty Cow portant sur Linux. Elle a été annoncée le 19 octobre 2016 à travers plusieurs médias. 6 jours plus tard, la documentation sur la vulnérabilité était traduite en russe, puis publiée sur un forum underground russe. 6 jours après le code d’un PoC (prototype) était disponible sur Pastebin.  Au final, un exploit était à disposition des pirates 2 semaines avant la classification du NIST intervenue le 10 novembre 2016.

A lire aussi :

Sécurité : sous pression, Mitre poussé à réformer les CVE

Le plus grand risque de sécurité pour les DSI ? Les PDG !

Crédit Photo : Releon8211-Shutterstock