Les vulnérabilités sont l'un des éléments fréquemment identifiés dans les incidents de sécurité et constituent, avec d'autres menaces telles que les exploits et les logiciels malveillants, un risque latent. En 2017, le nombre de celles-ci a atteint un sommet historique, battant les records établis au cours des années précédentes. De plus, le nombre de vulnérabilités jugées critiques a également atteint un sommet au cours de l'année qui vient de se terminer.
Hausse du nombre de vulnérabilités déclarées au cours de la dernière année
Selon CVE Details, plus de 14 600 vulnérabilités ont été signalées en 2017, contre 6447 en 2016. Ce nombre a donc plus que doublé depuis 2016, avec une augmentation de 120% par rapport à l’année précédente.
Il est important de souligner que l'augmentation pourrait même être plus importante encore, car ces enregistrements n'incluent pas les vulnérabilités jour zéro qui sont utilisées à l'état sauvage, à l'insu des fabricants ou des utilisateurs.
Si l'on examine les résultats de ces enregistrements, il convient également de souligner qu'en 2017, 40 ont été signalées quotidiennement en moyenne, comparativement à seulement 17 en 2016.
Les vulnérabilités de gravité élevée et critiques augmentent également
La gravité des vulnérabilités est déterminée en fonction de différents facteurs, dont leur impact sur la confidentialité, l'intégrité ou la disponibilité des données, ainsi que le vecteur d'attaque utilisé, la complexité de l'attaque, les privilèges requis ou toute interaction avec l'utilisateur. Résoudre cette question requiert un système de calcul des effets négatifs.
Le système commun de pointage des vulnérabilités (CVSS) est un système de pointage conçu pour fournir une méthode ouverte et normalisée d'évaluation de l'impact de celles-ci, et est donc utilisé pour quantifier leur gravité. Deux versions de ce système sont présentement utilisées : CVSS v2.0 et CVSS v3.0.
40 vulnérabilités rapportées par jour en moyenne en 2017
Dans les deux cas, le système de notation comprend trois groupes de mesures utilisés pour calculer le score. Le premier groupe, appelé groupe de base, représente les qualités intrinsèques de la vulnérabilité, c'est-à-dire celles qui lui sont inhérentes.
Le deuxième groupe, appelé groupe temporel, reflète les caractéristiques qui changent avec le temps. Finalement, le groupe de métriques environnementales prend en compte les caractéristiques d'une vulnérabilité qui sont propres au contexte de l'utilisateur effectuant l'évaluation.
Après avoir attribué des valeurs aux mesures de base, la formule donne un score compris entre 0,0 et 10,0, ce qui représente la gravité de cette dernière. Dans CVSS v2.0, il y a trois catégories :
- Faible : lorsque le score se situe entre 0,0 et 3,9;
- Moyen : s'il se situe entre 4,0 et 6,9;
- Élevé : lorsque le résultat se situe entre 7,0 et 10,0.
La version 3.0 de CVSS regroupe quant à elle cinq catégories :
- Aucune (0,0),
- Faible (0,1-3,9),
- Moyenne (4,0-6,9),
- Élevée (7,0-8,9) et
- Critique (9,0-10,0).
Sur la base de ces classifications de gravité, il convient de souligner qu'en 2017, le nombre de vulnérabilités considérées comme élevées dans CVSS v2.0 et comme critiques dans CVSS v3.0 a également augmenté considérablement selon la National Vulnerability Database (NVD).
Les vulnérabilités jugées critiques dans CVSS v3.0 se sont également accrues de façon significative au cours des 5 dernières années, passant du nombre de 0 (zéro) enregistré en 2013 à 2070 à la fin de l'année dernière, soit pratiquement le double du montant enregistré en 2016.
En ce qui a trait aux vulnérabilités considérées comme élevées dans CVSS v2.0, leur nombre a connu aussi une hausse considérable, passant de 2470 en 2016 à plus de 4100 en 2017. Cela représente une augmentation de plus de 60 %.
Dans les données présentées ci-dessus, nous pouvons observer une augmentation importante du nombre de vulnérabilités signalées au cours des derniers mois, ainsi qu'une augmentation supplémentaire de celles considérées comme élevées et critiques. Somme toute, nous pouvons déclarer 2017 comme l'année des vulnérabilités... jusqu' à présent!
Crédit images : TheDigitalArtist/Pixabay.com