IBM fait le point sur les vulnérabilités de 2008

IBM dévoile les résultats du rapport annuel X-Force, qui répertorie les malwares rencontrés en 2008.

L’an dernier, plus de la moitié des vulnérabilités découvertes touchait des applications web. Ceci est d’autant plus ennuyeux que, une fois exploitées, ces failles permettent de se servir d’un site pour déployer du code malicieux sur les postes des utilisateurs.

Plus de 74 % de ces vulnérabilités n’ont toujours pas été corrigées. Ceci est dû soit à un manque de ressources, soit à une mauvaise architecture logicielle qui empêche la création d’un correctif adapté. Les attaques par injection SQL demeurent ainsi prépondérantes, un fait étrange sachant que des parades efficaces permettent d’éliminer ce risque.

Les navigateurs web demeurent également très vulnérables. Les indélicats affectionnent ainsi tout particulièrement les contrôles ActiveX, une valeur sûre pour les pirates. Des documents Flash ou PDF exploitant les vulnérabilités découvertes dans lecteurs Adobe ont également fleuri sur le web. Globalement, les liens menant vers des pages web piégées ont augmenté de +50 % lors du dernier trimestre 2008… par rapport à la totalité de l’année 2007 !

Les éditeurs devront donc rester vigilants en 2009, en corrigeant un maximum de failles. Malheureusement, ce n’est pas toujours le cas. Le rapport X-Force montre ainsi que 53 % des vulnérabilités découvertes en 2008 n’étaient toujours pas corrigées à la fin de l’année. Pire, fin 2008, 44 % et 46 % des failles découvertes respectivement en 2007 et en 2006 n’étaient pas encore comblées. Les pirates n’ont donc que l’embarras du choix.