omme on me le faisait très justement remarquer tout récemment, "Tous les éditeurs [...] ont des failles dans leurs produits". Mais force est de constater que tous ne sont pas égaux face à cette situation quand il s'agit de leur exploitation, et la dernière version du rapport "IT Threat Evolution" de Kaspersky ne fait que confirmer une nouvelle fois cet état de fait.
Ce faisant, il consacre Oracle comme leader, si on peut s'exprimer ainsi, en terme de vulnérabilités exploitées sur ce troisième trimestre 2012 avec plus de la moitié des attaques visant Java dont deux failles touchent plus d'un tiers des machines étudiées. L'éditeur détrône ainsi Adobe dont les deux produits phare que sont Adobe Reader et Flash Player ne sont ciblés que dans 28% des cas...
Le classement des vulnérabilités présentes sur chez les utilisateurs participants est également intéressant. Il montre en effet, comme indiqué plus haut, une prédominance très nette de deux failles touchant l'implémentation Java d'Oracle aux deux premières places, la première touchant 35% des postes, la seconde 21%. Cependant, ces chiffres restent difficilement interprétables en l'état. Il aurait été en effet intéressant d'avoir d'autres données comme, par exemple, le pourcentage d'utilisateurs affectés par une faille quand le logiciel visé est installé sur leur machine. Ou le pourcentage d'utilisateurs affectés par au moins une faille touchant un logiciel installé, typiquement Java qui présente deux failles du classement ou Flash qui en totalise trois.
Aussi il convient de se garder d'extrapoler et annoncer, par exemple, qu'Adobe tient la première place parce que ses produits sont cités cinq fois. Par contre, on peut constater certaines constantes qui semblent s'établir avec le temps. D'abord, la très nette domination de Java en tête de classement sur 2012 avec un tiers des utilisateurs exposés à un ou plusieurs failles. Ensuite, la disparition de Microsoft de ce classement ces deux dernières années. Il s'agit peut-être d'une coïncidence, ou des fruits du travail effectué par l'éditeur pour limiter l'exploitation des failles touchant ses produits. Allez savoir...
Enfin, cette domination d'une seule application démontre quelques facettes de l'inégalité démontrée plus haut. Certaines applications sont plus visées du fait de leur utilisation massive. D'autres du fait d'une facilité et/ou d'une généricité d'exploitation, ou encore de leur accessibilité via le navigateur. Java combine, dans une certaine mesure, ces trois facteurs. Ce n'est donc pas une surprise qu'elle figure aussi régulièrement dans ce top 10...
Ce qui est également intéressant par rapport à ces chiffres, c'est quand on les met en perspective avec tout ce que le pentesteur moyen croise d'applications métier, savant croisement d'ERP, de workflows et autres dérivés, accessibles via une interface web qu'on trouve dans les entreprises. Car derrière ce choix supposé simplifier la gestion de l'environnement informatique par sa réduction au client léger qu'est censé être le navigateur, c'est en fait une véritable machine à vulnérabilité qui s'est mise en marche. Car sans même parler de ce qui ne marche que sur telle ou telle version, souvent obsolète, d'Internet Explorer, quand on voit la proportion de ces applications qui réclament le support de Java, voire d'Acrobat ou de Flash, pour simplement fonctionner, il n'est guère étonnant que le parc informatique mondial présente un niveau de vulnérabilité particulièrement propice à la réussite de campagnes d'attaques, probablement persistantes, peut-être furtives, mais qui ciblent (quasiment) toujours vers les même usual suspects dès lors qu'il s'agit de trouver une faille à exploiter...
En parlant d'Adobe, on notera avec intérêt les discussions autour de la possible circulation d'un 0day visant Adobe Reader 10 et 11 et faisant fi de la sandbox mise en place par l'éditeur. D'une part parce que ça semble démontrer que cette sandbox, bien que constituant un plus non négligeable, est évidemment tout aussi perméable que d'autres, typiquement que celle de Chrome. Et d'autre part parce que partant de là, la vraie mesure préventive n'est pas d'éviter d'ouvrir des documents mais bel et bien de réfléchir sérieusement à changer de lecteur PDF...
Ceci étant, l'existence de cet exploit et de la (des) faille(s) associée(s) n'est pour autant pas encore confirmée par l'éditeur.
Jeu de briques
Snake
Pacman
Bubble