Le délai se réduit entre l'annonce d'une vulnérabilité et son exploitation malveillante

Internet Security Systems (ISS) (NASDAQ : ISSX), acteur majeur du marché des solutions de sécurité préventive pour les entreprises, vient de publier son nouveau rapport trimestriel « Threat Insight Quarterly – Threat IQ » sur la typologie et l’évolution des risques et des menaces sur Internet au cours du troisième trimestre 2005. Dans ce rapport, ISS constate que les hackers et les cyber-criminels sont de plus en plus prompts à concevoir des programmes malfaisants pour exploiter les failles logicielles et matérielles connues. Une vulnérabilité sur six est désormais exploitée dans les 48 heures suivant sa publication. Au bout d’une semaine, la moitié des failles de sécurité annoncées publiquement a déjà fait l’objet d’une exploitation par un programme malveillant (malware).

Cette réduction du délai entre publication et exploitation des vulnérabilités s’accompagne d’une forte augmentation du nombre et de la dangerosité des failles de sécurité. En 2005, les analystes de la X-Force, l'équipe de recherche d’ISS, ont identifié et signalé 4.472 vulnérabilités logicielles et matérielles, soit une augmentation de 33,73 % par rapport à 2004. Les cybercriminels sont de plus en plus rapides à concevoir et à mettre en circulation des « preuves de concept », des ébauches de code malveillant que s’échangent des communautés restreintes de cyberpirates avant de publier un "exploit" à destination des réseaux de criminalité internet organisés ou de forums. Pour une vulnérabilité sur deux signalée en 2005, les experts d’ISS ont constaté que la mise au point de ce code s’effectue en moins d’une semaine.

Dans un certain nombre de cas, les cyberpirates semblent même être en mesure « d’anticiper » la publication des vulnérabilités. Pour 12,5 % de toutes les failles de sécurité découvertes en 2005, on a vu apparaître des programmes "malware" juste après leur publication, quelques fois sous forme de code à compiler. Ce rythme accéléré accentue la pression sur les éditeurs de logiciels et les constructeurs de matériels, qui doivent publier des correctifs dans des délais toujours plus courts. Mais cela pose aussi un problème aux entreprises qui doivent appliquer ces correctifs sur des infrastructures toujours plus complexes. Internet Security Systems est aujourd’hui le seul fournisseur du marché à permettre de rompre ce cercle vicieux, grâce à ses solutions de sécurité proactive, basées sur les recherches de la X-Force. En effet, une fois une vulnérabilité logicielle ou matérielle découverte, la X-Force met au point un patch virtuel (Virtual Patch) qui protège les entreprises contre l’exploitation malveillante des vulnérabilités, avant même que ces dernières ne soient publiées, et a fortiori, jusqu'à ce que les éditeurs de logiciels et les constructeurs de matériels publient un correctif officiel.

Pour plus d'informations sur la protection proactive : www.iss.net/proof/preemptiveprotection/

Le dernier rapport trimestriel X-Force Threat Insight est disponible sur : http://xforce.iss.net/xforce/threat_ins … /index.php

A propos d’Internet Security Systems
Créé en 1994, Internet Security Systems, Inc. (ISS), est le leader du marché des produits et services de sécurité préventive contre les menaces liées à Internet. Devenu la référence en matière de sécurité pour les entreprises et les organisations publiques du monde entier, Internet Security Systems permet aux entreprises de réduire considérablement leurs coûts et de minimiser les risques juridiques et commerciaux de leur entreprise. Les produits et services d'Internet Security Systems s'appuient sur des fonctions intelligentes de sécurité proactives, conçues par l'équipe de recherche et développement d'Internet Security Systems, la X-Force™, autorité mondialement reconnue pour ses recherches sur les vulnérabilités et les menaces. Le siège d'Internet Security Systems se trouve à Atlanta en Géorgie et de nombreuses filiales sont réparties aux Etats-Unis, en Asie, en Australie, en Europe et au Moyen-Orient.