[Helpc] Le FBI recense les vingt failles les plus exploitées

• From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
• To: <helpc@xxxxxxxxxxxxx>
• Date: Sun, 6 Oct 2002 20:07:33 +0200

Le FBI recense les vingt failles les plus exploitées 
Pour la troisième année consécutive, le SANS Institute et le FBI
publient les vingt failles informatiques les plus exploitées par les
pirates. Objectif du rapport : informer les responsables informatiques
afin de réduire le nombre d'intrusions pirates, notamment en fournissant
les solutions de sécurisation. Pas sectaire, le rapport met en avant les
faiblesses de Windows comme des systèmes Unix/Linux. 
"Le succès de la majorité des attaques informatiques est dû à quelques
failles logicielles", écrit le SANS (SysAdmin, Audit, Network, Security)
Institute dans son rapport en collaboration avec le FBI. "Cela peut être
attribué au fait que les hackers sont opportunistes, ils empruntent
l'itinéraire le plus commode et exploitent les failles les mieux connues
à l'aide des outils les plus efficaces et les plus répandus (...) Ils
comptent sur l'absence de mise à jour et attaquent souvent sans
discrimination, se contentant de scanner l'Internet à la recherche de
systèmes vulnérables", poursuivent les rapporteurs. 
Le rôle du SANS Institute n'est pas de faire la chasse aux pirates mais
d'informer, essentiellement les administrateurs, des modes d'attaques
informatiques les plus courants. Et les invitent évidemment à mettre à
jour leurs systèmes, sachant que des correctifs adaptés à la plupart des
failles sont disponibles. Le SANS propose également des solutions en
collaboration avec le CERT. Pour ce troisième rapport, vingt failles ont
été répertoriées contre dix en juillet 2000. Sans sectarisme, l'institut
partage à égalité les vulnérabilités entre les systèmes Windows et
Unix/Linux. Evidemment, les failles relevées dans le rapport n'ont rien
de nouveau pour les responsables informatiques assidus. Vnunet.fr a
d'ailleurs déjà évoqué nombre d'entres elles. 
Applications et systèmes 
Côté Windows, les failles mises en avant touchent autant les
applications (serveurs IIS et SQL, navigateurs IE) que les systèmes (NT,
2000, XP). On y trouve notamment les vulnérabilités d'Internet Explorer
(contrôles ActiveX, buffer overflow, MIME-type...), la faible protection
de la base de registres, ou encore l'exécution d'un script VBS reçu par
e-mail. Du côté d'Unix, on notera les failles liées aux RPC (Remote
procedure calls) qui permettent de faire exécuter une tâche par une
machine sur une autre. Le rapport note également des failles sur le
serveur Web Apache rappelant que si ce serveur a une bonne réputation
sur son niveau de sécurité, "il n'a pas prouvé son invulnérabilité après
examen minutieux". 
Christophe Lagane
 
 
 
--->
Shaka( Rudy)
Helpc list owner
 <mailto:shaka.rudy@xxxxxxxxx> shaka.rudy@xxxxxxxxx
 
 

Other related posts:

• » [Helpc] Le FBI recense les vingt failles les plus exploitées

1. Home
2. helpc
3. Archive
4. 10-2002

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---