Failles de sécurité

Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n’ont toujours pas fait l’objet de correctifs à ce jour. Elles sont, pour l’essentiel, liées à l’utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l’emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.

CERTA-2005-ALE-013

Vulnérabilité dans Citrix Metaframe Presentation (07 octobre 2005)

CERTA-2005-ALE-016

Vulnérabilité de Microsoft Windows RPC (18 novembre 2005)

CERTA-2006-ALE-008

Vulnérabilité d’ExtCalendar (11 juillet 2006)

CERTA-2007-ALE-016

Vulnérabilité d’Oracle 10g (16 novembre 2007)

CERTA-2007-ALE-011

Vulnérabilité du composant d’indexation des serveurs Microsoft IIS (10 octobre 2008)

CERTA-2008-ALE-006

Vulnérabilités dans HP OpenView NNM (18 avril 2008)

CERTA-2008-ALE-013

Vulnérabilité du service sadmind de Sun Solaris (17 octobre 2008)

CERTA-2009-ALE-017

Vulnérabilités dans l’implémentation TCP/IP de divers produits (11 septembre 2009)

CERTA-2009-ALE-014

Multiples vulnérabilités du client de messagerie Mozilla Thunderbird (25 août 2009)

CERTA-2009-ALE-019

Vulnérabilité dans Windows 7 et Windows Server 2008 R2 (16 novembre 2009)

CERTA-2009-ALE-022

Vulnérabilité dans TANDBERG MXP (11 décembre 2009)

Publier une faille de sécurité est un délit pénal !

Le 9 septembre 2009, la Cour d’appel de Paris, statuant en référé, a confirmé l’ordonnance de référé du 26 janvier 2009. Dans sa décision, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. Suite à une affaire datant de mars 2006, la Cour de Cassation a rappelé le 27 octobre 2009 la loi qui s’exprime au travers de l’article 323-3-1 du code pénal introduit par la Loi sur l’Economie Numérique du 21 juin 2004 :

“Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.”

Et pourtant !

Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l’occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.

Que faire ?

Il existe de nombreux scanners de vulnérabilités sur le marché. Mais, en la matière, c’est, une fois de plus, du côté de l’Open Source que vous trouverez votre bonheur avec Nessus. Simple de mise en place, il s’exécute indifféremment sous Linux et sous Windows. Il comprend une très large liste de plugins qui vous permettront d’analyser la majeure partie des vulnérabilités publiées par les éditeurs ! Restent toutes autres…