|
|
|
Des failles sont
d�couvertes quasiment quotidiennement dans de nombreux OS et applicatifs
utilis�s sur Internet. Personne n�est �pargn� (cf. statistiques
vuln�rabilit�s Securityfocus): OS/soft commerciaux et OpenSource.
|
|
|
|
La tradition
dans l�industrie de la s�curit� informatique est dite de ��full
disclosure��: sont rendues publiques toutes les informations relatives
aux failles qui sont d�couvertes, aussi bien par des soci�t�s de s�curit� que
par les constructeurs ou m�me les pirates. Des programmes permettant
d�utiliser de fa�on quasi-automatis�e ces vuln�rabilit�s suivent rapidement
la publication des nouvelles failles. Les listes les plus courantes pour la
publication de nouvelles vuln�rabilit�s sont BUGTRAQ+VULN-DEV
(securityfocus), NTBUGTRAQ.
|
|
|
|
En plus des
failles rendues publiques (donc pour�
lesquelles un correctif (patch)) existe, des pirates
s�organisent en cercles secrets pour la recherche de nouvelles failles,
conserv�es priv�es et donc souvent imparables (ex. Solaris yppasswdd: donne
un shell root � distance sur toute machine Solaris faisant tourner ce daemon�
Exploit en circulation depuis plusieurs mois mais toujours aucun patch!!!)
|
|
|
|
|
|
Doit-on fournir
les exploits ? Le full-disclosure est-il la meilleure m�thode ? Certains
pensent que non, notamment en raison du nombre de skript kiddiez,
jeunes pirates crackant des machines pour le plaisir, � partir d�outils
r�cup�r�s dans le domaine public. Ces attaques n�introduiraient-elles pas un
bruit de fond nuisible � l�identification des r�els dangers (pirates
professionnels, �) ?
|
|
|
|
|
|
|
|
|