Sommaire

Exploitation de vulnérabilités connues

1. Présentation et risques

Le risque d’exploitation de vulnérabilités connues ne s’adresse pas seulement au périmètre du code mais à toute l’infrastructure d’une application comme les services web, les frameworks, les systèmes d’exploitation... Chaque année, de nouvelles vulnérabilités avec un impact sur des millions de systèmes sont dévoilées. Une des dernières fut Heartbleed, qui a impacté 17 % des serveurs web dits sécurisés par le protocole TLS, dont Amazon Web Services, GitHub, Reddit, etc. Cette vulnérabilité autorise un cybercriminel à obtenir des informations en transit sur le serveur et ainsi voler les cookies, les sessions, les mots de passe des utilisateurs naviguant sur l’application. Heartbleed est simplement un exemple, chaque année des vulnérabilités de ce type sont divulguées ou pas. En effet, il existe des vulnérabilités dites « 0day », c’est-à-dire qu’elles ne sont pas connues, voire en vente sur le marché noir.

Voici l’évaluation des risques sur l’exploitation de vulnérabilités connues :

images/03EP71.png

L’OWASP décrit le risque avec une prévalence très forte mais une détection faible car c’est souvent dans le domaine de la recherche que ce type de vulnérabilités est trouvé. ...