En matière de sécurité, l’information sur le type de vulnérabilités est primordiale et la rapidité pour avoir cette donnée est tout aussi essentielle. Il existe des classements comme les CVE au sein de la National Vulnerability Database du NIST (National Institute of Standards and Technology). Mais si vous voulez être les premiers informés, inutiles de vous retourner vers ces institutions.
Selon le spécialiste de threat intelligence, Recorded Future, la personne sera mieux inspiré de traîner sur les sites d’actualités, les blogs, les médias sociaux et pour les plus téméraires d’arpenter les forums undreground et les recoins du Dark Web. La firme américaine a analysé des données de sécurité depuis 2016 soit 12 500 bugs. Elle a constaté un décalage moyen de 7 jours entre la révélation de la faille et l’intégration dans la base de données NIST. Recorded Future considère que ce délai constitue un risque important pour les entreprises et remet en cause la fiabilité des canaux de diffusion. Dans son étude les deux extrêmes montrent un délai d’un jour entre la divulgation et la classification pour le plus rapide, le plus lent affiche un délai de 172 jours. Parmi les fournisseurs, Microsoft et Adobe sont considérés comme rapides, alors qu’IBM et Apache sont plutôt lents.
Une vulnérabilité sur 20 (5%) a été publiée sur le Dark Web avant sa classification NIST, avec un niveau de gravité très élevée. Les cybercriminels sont à la recherche de failles permettant l’exécution de code à distance, provoquant des élévations de privilèges. La moyenne de gravité d’une vulnérabilité sur le Dark Web est de 7,2, contre 6 pour les CVE non disponibles sur le Dark Web.
Recorded Future prend l’exemple de la faille Dirty Cow portant sur Linux. Elle a été annoncée le 19 octobre 2016 à travers plusieurs médias. 6 jours plus tard, la documentation sur la vulnérabilité était traduite en russe, puis publiée sur un forum underground russe. 6 jours après le code d’un PoC (prototype) était disponible sur Pastebin. Au final, un exploit était à disposition des pirates 2 semaines avant la classification du NIST intervenue le 10 novembre 2016.
A lire aussi :
Sécurité : sous pression, Mitre poussé à réformer les CVE
Le plus grand risque de sécurité pour les DSI ? Les PDG !
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
