Le top 20 des failles les plus exploitées par les pirates

Le Top 20 des failles de sécurité est réalisé chaque année par le SANS Institute en collaboration avec le FBI.

Les deux organismes compilent les rapports d'incidents qui leur sont parvenus durant l'année et ils en extraient les tendances du moment. Cette année, ce sont deux top 10 qui sont publiés. L'un présente les dix failles les plus exploitées sous Windows, et l'autre celles sous UnixUnix (et ses cousins libres tels que LinuxLinux ou les BSD).

Tous deux sont très proches du top 20 de l'an dernier : on y retrouve les habituelles failles d'Internet Explorer, Outlook Express et IIS du côté de MicrosoftMicrosoft, et les failles de Bind, Sendmail et autres SSHSSH du côté d'Unix. En outre, le SANS liste les "oublis" traditionnels multi-plateformes tels que des mots de passe faibles ou qui voyagent en clair sur le réseau.

Ce document offre une vision plutôt déprimante de la sécurité des systèmes d'information : ce sont essentiellement les mêmes faiblesses, tout juste une poignée, qui sont exploitées par les pirates depuis toutes ces années. Les responsabilités sont partagées entre les éditeurs de logiciels et les entreprises, qui ignorent souvent les conseils de simple bon sens (oui, il reste encore dans la nature des comptes utilisateurs sans mot de passe...)

Mais ce Top 20 n'est pas qu'un long et sinistre inventaire à la Prévert : le document offre pour chaque faille les méthodes pour s'en protéger (modifications de la base de registre de Windows, des fichiers de configuration d'Unix, bonnes pratiques, etc). Une lecture nécessaire !

Pour en savoir plus :
- Le Top 20 du SANS en ligne
- Le Top 20 au format PDF
- Le Top 10 des failles web les plus courantes