Vulnérabilités : de quoi parle-t-on ?


Les vulnérabilités sont les portes d’entrée des attaques de cybersécurité. Comment sont-elles découvertes ? Classées ? Résolues ? Voici nos réponses.

Partager l’article :

En cybersécurité, qu’est-ce qu’une vulnérabilité ?

Une vulnérabilité est une faille de sécurité. Elle provient dans la majorité des cas d’une faiblesse dans la conception d’un système d’information (SI), d’un composant matériel ou d’un logiciel.

Toutes les vulnérabilités ne mènent pas forcément à une cyberattaque. En effet, elles sont majoritairement rendues publiques et corrigées. On dit qu’elles font l’objet d’un traitement en divulgation complète, full disclosure en anglais.

Les vulnérabilités informatiques avec Orange Cyberdefense

Source : Timeline de divulgation complète, CERT Orange Cyberdefense, département Vulnerability Intelligence Watch, 2019

Actuellement, moins de 5% des vulnérabilités* publiées disposent d’un code d’exploitation final. C’est ce code qui permet d’exploiter la vulnérabilité et rend possible une attaque. En effet, la plupart des vulnérabilités ne sont pas exploitées (aucun code d’exploitation ou difficulté de s’en procurer, manque d’intérêt).

De plus, bien qu’un code d’exploitation soit mis à disposition par un chercheur ou la communauté, ce dernier est en réalité rarement utilisé à des fins de pandémie. Pour qu’une vulnérabilité soit intéressante à exploiter, elle doit répondre aux critères suivants :

  • toucher un grand nombre de cibles ;
  • être simple à exploiter ;
  • avoir un but lucratif direct (ransomware) ou indirect (vol de données à des fins de revente ou de chantage).

Tant qu’une vulnérabilité n’est pas connue et exploitée par un pirate, elle est appelée 0-day ou zero day.

Source : Timeline de correction, CERT Orange Cyberdefense, département Vulnerability Intelligence Watch, 2019

Comment les vulnérabilités sont-elles découvertes ?

Pour tenter de détecter les vulnérabilités le plus tôt possible, les éditeurs de logiciels et les constructeurs de composants informatiques font appel à des chercheurs internes ou externes. La contribution de ces chercheurs externes peut être apportée via :

  • des sociétés spécialisées en recherche de vulnérabilités ;
  • des sociétés spécialisées en audit de code ;
  • des programmes de bug bounty: il s’agit de concours ouverts à tous où la découverte de vulnérabilités est récompensée financièrement. A noter qu’il existe également des bug bounty

Par ailleurs, les vulnérabilités zero day font l’objet d’un marché où les acquéreurs peuvent être des Etats ou des organisations criminelles.

Quels peuvent être les impacts des vulnérabilités ?

Les vulnérabilités peuvent avoir des conséquences très variées : du simple dysfonctionnement d’un équipement à la destruction complète d’une chaîne de production. Tout dépend de la nature des infrastructures équipées et de la solution visée.

Ainsi, l’ensemble des vulnérabilités étant très hétérogène, certaines ont permis des attaques redoutables, comme celle de WannaCry en 2017 qui a infecté plus de 300 000 ordinateurs dans 150 pays. WannaCry a utilisé la vulnérabilité EternalBlue dont le développement est attribué à la National Security Agency (NSA), sur la base d’une faille du serveur de fichiers de Microsoft Windows**. Elle a également été utilisée pour l’attaque NotPetya la même année. NotPetya a infecté des centaines de milliers d’ordinateurs au niveau mondial.

Comment résoudre une vulnérabilité ?

Afin de résoudre une vulnérabilité, les éditeurs développent des correctifs, ou patchs en anglais. Ces correctifs peuvent être temporaires ou associés à des montées de version. C’est pour cela que les mises à jour sont très importantes : elles garantissent de disposer d’une version des logiciels intégrant les dernières connaissances en la matière.

Les vulnérabilités sont-elles courantes ?

Aucun programme informatique n’est infaillible et les vulnérabilités, qui peuvent être des erreurs d’écriture du code, sont presque inévitables. A titre d’illustration, depuis le 1er janvier 2019, les équipes du CERT d’Orange Cyberdefense ont publié plus de 850 vulnérabilités**.

Les vulnérabilités informatiques avec Orange Cyberdefense

Source : CERT Orange Cyberdefense, département Vulnerability Intelligence Watch, 2019

Les vulnérabilités font-elles l’objet d’un recensement ?

Une fois découvertes, les vulnérabilités peuvent faire l’objet d’une identification appelée CVE pour Commom Vulnerabilities and Exposures. Celle-ci est donnée, sur demande des chercheurs, par le Massachussetts Institute of Technology Research Establishment (MITRE).

Cet organisme peut également déléguer ses pouvoir d’identification à une entreprise ou un centre de recherche. Celui-ci devient alors une CNA (CVE Numbering Authority).

Quelles sont les vulnérabilités les plus connues ?

Elles s’appellent EternalBlue, Shellshock, Heartbleed, Poodle, Dirty COW, Spectre ou Meltdown. Ces vulnérabilités assez célèbres visent précisément certains produits et logiciels.

Shellshock (aussi appelée « Bashdoor ») est une vulnérabilité qui impacte les systèmes Linux, Unix et macOS. Elle autorise un attaquant de prendre le contrôle d’une machine.

Heartbleed permet à un attaquant de lire des portions de mémoire d’un serveur, principalement des clés privées utilisées dans le chiffrement des communications ou d’autres secrets d’un serveur. Elle provient d’une mauvaise implémentation du protocole TLS par la bibliothèque OpenSSL.

PoodlePadding Oracle on Downgraded Legacy Encryption. Localisée dans un protocole de chiffrement, le SSLv3, cette faille rend les applications vulnérables aux attaques de type « man-in-the-middle » (MITM).

Dirty COW (COW veut dire « copy-on-write ») est une vulnérabilité de Linux. Son exploitation peut permettre une élévation de privilèges.

Spectre et Meltdown sont des vulnérabilités touchant les processeurs, principalement ceux de la société Intel pour récupérer des informations de la mémoire.

Il est certain que d’autres failles de ce type ne manqueront pas de continuer à apparaître. Ainsi, l’important est d’apprendre à les gérer et à les résoudre. C’est donc l’objet de notre série d’articles.

Notes :

*Source : CERT Orange Cyberdefense, département Vulnerability Intelligence Watch, 2019

**SMBv1