Patch tuesday

Pensez à regarder le calendrier la prochaine fois que votre ordinateur vous propose de télécharger la mise à jour d'un logiciel. Cette proposition a de grandes chances de se produire le deuxième mardi du mois, plus connu sous le nom de "Patch Tuesday" pour les experts en informatique. Ce jour est celui choisi par de nombreux fournisseurs informatiques pour annoncer publiquement de nouvelles failles de vulnérabilité découvertes dans leurs logiciels. Ces dernières pourraient permettre à un pirate de prendre le contrôle de votre machine, télécharger vos données et même effacer votre système - sauf si vous installez le correctif.

Failles de vulnérabilité révélées

Grâce au "Patch Tuesday", la plupart des failles de vulnérabilité sont révélées au public le mardi, plus qu'aucun autre jour de la semaine en 2007, le mercredi arrivant en deuxième position. Il s'agit d'une des conclusions d'IBM Internet Security Systems, qui affirme également que 2007 est la première année ayant vu moins de failles de vulnérabilité signalées par rapport à l'année précédente.

Statistiques des tendances X-Force 2007

Le dernier rapport de tendances X-Force 2007 traite de la grande diversité des menaces en ligne et des failles de vulnérabilité apparues l'année dernière. Il offre une vision fascinante des activités en ligne que la plupart d'entre nous cherche à fuir, et dont les experts travaillent constamment à les contrecarrer - si possible.

Ces menaces peuvent aller du "spam" classique à l'usurpation d'identité et aux tentatives d'accès à distance aux systèmes informatiques par les pirates.

Signalement des failles de vulnérabilité 2007

Une majeure partie du rapport étudie les tendances concernant les failles de vulnérabilité découvertes et signalées par les fournisseurs de logiciels eux-mêmes. Les statistiques X-Force montrent que les 5 principaux fournisseurs de logiciels — Microsoft, Apple, Oracle, IBM et Cisco — ont seulement signalé 13,6% des failles de vulnérabilité découvertes en 2007.

Failles de vulnérabilités corrigées et non corrigées en 2007

20% des failles de vulnérabilités signalées ont pu être réparées grâce à un correctif logiciel.

En revanche, concernant les autres failles de vulnérabilité signalées par les autres fournisseurs, seulement 50% ont pu être corrigées par un correctif.

La plupart de ces failles de sécurité permettent d'utiliser votre navigateur. Ce problème est abordé en détail par le rapport X-Force.

Failles de vulnérabilité critiques des navigateurs en 2007

Selon IBM Internet Security Systems, il existe même un marché clandestin des outils logiciels que les pirates peuvent utiliser pour créer de nouveaux types d'attaques d'exploitation du navigateur Web. La dernière tendance chez les pirates consiste à louer ces outils de développement logiciel afin d'obtenir une part du butin pour un investissement initial bien moins élevé. Cependant, les analystes X-Force supposent, avec une ironie sans doute calculée, que la plupart de ces outils sont eux-mêmes de plus en plus piratés au sein de cette communauté.

Qu'est-ce que le "spam" ?

spam (n.m.) : Courrier électronique non sollicité, souvent de nature commerciale, envoyé indistinctement à plusieurs listes de diffusion, individus ou forums ; courrier indésirable

spam (v.) : 1. Envoyer du courrier non sollicité. 2. Envoyer (un message) indistinctement à plusieurs listes de diffusions, individus ou forums.

— The American Heritage Dictionary of the English Language, 4th ed.

Aujourd'hui le "spam" demeure le problème réseau le plus connu d'entre tous. En temps normal, sur une journée, IBM Internet Security Systems analyse 150 000 messages de "spam" uniques. Il a été établi que, en 2007, 15% des messages de "spam" d'Internet provenait de serveurs situés aux Etats-Unis, suivis par les serveurs de Russie, d'Allemagne, et de Corée du Sud. Cependant, la majorité du "spam" est contrôlé par des programmes automatisés souvent appelés "bots" — pouvant être manipulés à distance depuis n'importe quel pays, quel que soit l'emplacement du serveur.

Intitulés d'objet les plus fréquents des messages de "spam", fin 2007

Souvent, l'objet du message constitue un indice sur sa nature - mais même ces lignes peuvent être diverses, allant d'un champ vide à des offres pour obtenir des « répliques de montres ». Les offres de prescription pharmaceutiques et les publicités dissimulées derrière une carte de vœux électronique sont également des techniques prisées par les spammeurs.

What is "phishing"?

By the end of 2007, 1 out of every 100 spam messages was something even more nefarious: an attempt to get someone's personal information to commit identity theft, an illegal activity otherwise known as "phishing," spelled with a "p-h." This is a growing trend in consumer fraud and computer hacking, as many phishing expeditions try to trick consumers into turning over their financial information.

Intitulés d'objet les plus fréquents des messages de "phishing", fin 2007

Ces courriers électroniques utilisent des intitulés d'objet ou une adresse de destination qui fait penser à une véritable alerte de sécurité de la part de votre banque ou votre courtier. Ils tentent de plus en plus de vous connecter à un site Web conçu pour ressembler à s'y méprendre à un vrai site bancaire, mais qui s'avère une façade pour des opérations criminelles..

Répartition du contenu du Web, fin 2007

L'autre fléau qui empoisonne la navigation des individus réside dans le contenu indésirable sur lequel vous tombez sur le Web sans même le chercher. Il existe au moins quelques motifs d'espoir parmi ces tendances. En 2006, Le contenu indésirable — notamment la pornographie, les activités criminelles ou l'incitation à la haine — représentait 12,5% de l'ensemble du contenu du Web. Or, à la fin de l'année 2007, ce nombre est tombé à moins de 10%.