Alors que nous devenons de plus en plus dépendants des applications web, il n’est pas surprenant que les applications soient exposées à un risque important de vulnérabilités informatiques.
De nos jours, les entreprises utilisent différentes sortes applications pour effectuer presque toutes les tâches nécessaires à leur bon fonctionnement. En fait, la prolifération des applications est l’évolution naturelle de la transformation numérique, et nos opérations commerciales essentielles ainsi que nos routines de travail quotidiennes en seront de plus en plus dépendantes.
Une étude récente de WhiteHat Security montre qu’au moins 50 % des applications utilisées par les secteurs industriels les plus populaires contiennent une ou plusieurs vulnérabilités informatiques. Ces secteurs comprennent l’industrie manufacturière, les services publics, la santé, le commerce de détail, l’éducation et les services publics, pour n’en citer que quelques-uns.
Le secteur de la fabrication présente le niveau d’exposition le plus élevé, avec près de 70 % des applications présentant au moins une vulnérabilité exploitable.
Si ce constat est très préoccupant pour les professionnels de la cybersécurité, il fait le bonheur des pirates et des cybercriminels qui sont constamment à la recherche d’une faille dans les systèmes de défense informatique des entreprises d’aujourd’hui dont ils pourraient tirer parti.
Selon ledit rapport, les cinq principales classes de vulnérabilités enregistrées au cours du quatrième trimestre de 2020 comprennent la fuite d’informations, l’expiration insuffisante de la session, le cross site scripting, la protection insuffisante de la couche de transport et l’usurpation de contenu.
Les chercheurs à l’origine du rapport ont déclaré que – pour découvrir, exploiter et tirer pleinement parti de ces vulnérabilités, il n’est pas nécessaire de suivre une formation spécialisée.
Le récent rapport State of Software Security de Veracode a révélé que 76 % de toutes les applications présentent au moins une vulnérabilité. Toutefois, il indique également que seuls 24 % des logiciels contiennent une vulnérabilité de haute gravité.
Les dommages résultant de l’exploitation d’une vulnérabilité peuvent être coûteux
L’abondance de vulnérabilités informatiques a des conséquences financières pour de nombreuses entreprises. Selon la compagnie d’assurance anglaise Hiscox, les entreprises ont subi des cyberpertes de 1,5 milliard d’euros, soit six fois plus qu’au cours des 12 mois précédents.
Le fournisseur d’assurance précise que les entreprises d’Angleterre ont 15 fois plus de chances de subir une cyberattaque qu’un incendie ou un vol.
Les vulnérabilités des applications coûtent de l’argent aux entreprises sur plusieurs fronts. Il y a évidemment le coût résultant de l’utilisation de ces vulnérabilités lors d’une cyberattaque.
Mais il y a aussi le coût réel de la correction de ces vulnérabilités, y compris le coût de la détection et le coût de la réparation des dégâts, étant donné que le coût horaire de travail d’un développeur est généralement élevé.
Pourquoi les applications web sont-elles si vulnérables ?
L’une des principales raisons de l’existence d’un si grand nombre de vulnérabilités informatiques est la multiplicité des applications. Chaque application est différente et utilise des systèmes de codage différents. Cela fait de chaque application une surface d’attaque unique.
Le temps nécessaire pour corriger ces vulnérabilités est un autre facteur contributif. Le délai moyen est de 189 jours, tous secteurs confondus. Mais cela suppose que la vulnérabilité soit effectivement corrigée. Selon le 2020 Mid-Year Attack Trends Report de Check Point, 80 % des attaques utilisent des vulnérabilités signalées il y a trois ans ou plus.
En d’autres termes, la majorité des attaques soutenues en 2020 ont été rendues possibles par des vulnérabilités informatiques signalées en 2017. En outre, le rapport a montré qu’une attaque sur cinq utilisait des vulnérabilités vieilles d’au moins sept ans.
Selon Paloalto, 80 % des kits d’exploitation publics sont développés et diffusés avant qu’une alerte CVE (Common Vulnerabilities and Exposures) puisse être publiée. Ils ont constaté qu’un kit d’exploitation public standard est connu 23 jours avant la publication de la CVE correspondante. Au cours des 22 dernières années, cette moyenne a atteint 40 jours.
La nouvelle se répand rapidement au sein de la communauté cybercriminelle, et des gens peu scrupuleux sont prompts à frapper dans ces portes d’opportunité. Il ne fait aucun doute que nous devons réduire l’écart entre la découverte des vulnérabilités et la publication des CVE.
Sans oublier, bien sûr, l’existence des vulnérabilités de type « zero-day ». Une étude a montré que 66 % des détections de malwares au cours du deuxième trimestre de 2020 impliquaient l’exploitation de vulnérabilités de type « zero-day ».
Ne blâmez pas seulement les éditeurs de logiciels
Si le rapport de Check Point semble très préjudiciable aux éditeurs de logiciels, ils ne sont pas les seuls à blâmer. Une grande raison pour laquelle les attaquants continuent d’exploiter d’anciennes vulnérabilités est que les entreprises continuent d’utiliser des systèmes d’exploitation et des logiciels obsolètes.
Selon une enquête de Spiceworks datant de 2019, 32 % des entreprises utilisaient encore des systèmes Windows XP à l’époque. En décembre dernier, on estime que 8,5 % des ordinateurs Windows fonctionnent sous Windows 7.
Une fois qu’un système d’exploitation ou une application est déprécié, il n’est plus pris en charge et le fournisseur cesse de fournir de nouveaux correctifs.
Et même si les éditeurs de logiciels publient de nouveaux correctifs, il n’est pas rare que les entreprises ne les appliquent pas. Selon l’Agence américaine pour la cybernétique, l’absence de correctifs pour les vulnérabilités, dont beaucoup datent de plus d’un an, expose les organisations à un risque de compromission beaucoup plus élevé.
L’agence indique que l’une des dix vulnérabilités les plus couramment exploitées a été divulguée pour la première fois en 2012.
Les experts en cybersécurité insistent constamment sur la nécessité de maintenir tous les systèmes et logiciels à jour. Bien que cela puisse sembler être un disque rayé, il y a une raison pour laquelle ils répètent constamment ce message : c’est parce que cela fonctionne !
TitanHQ est un fournisseur de cybersécurité récompensé à plusieurs reprises. Apprenez-en davantage sur TitanHQ et sur la manière dont nous pouvons protéger votre entreprise grâce à la sécurité des emails, au filtrage DNS et à l’archivage des emails pour la conformité.