{"id":573602,"date":"2023-01-24T10:45:29","date_gmt":"2023-01-24T12:45:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/security-navigator-research-certaines-vulnerabilites-remontent-au-dernier-millenaire\/"},"modified":"2023-01-24T10:45:31","modified_gmt":"2023-01-24T12:45:31","slug":"security-navigator-research-certaines-vulnerabilites-remontent-au-dernier-millenaire","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/security-navigator-research-certaines-vulnerabilites-remontent-au-dernier-millenaire\/","title":{"rendered":"Security Navigator Research\u00a0: certaines vuln\u00e9rabilit\u00e9s remontent au dernier mill\u00e9naire"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>L&#8217;analyse de la vuln\u00e9rabilit\u00e9 aboutit \u00e0 <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\">Navigateur de s\u00e9curit\u00e9 d&#8217;Orange Cyberdefenses<\/a> montrent que certaines vuln\u00e9rabilit\u00e9s d\u00e9couvertes pour la premi\u00e8re fois en 1999 se retrouvent encore aujourd&#8217;hui dans les r\u00e9seaux.  C&#8217;est pr\u00e9occupant.<\/p>\n<h2 style=\"text-align: left;\"><strong>\u00c2ge des d\u00e9couvertes de COV<\/strong><\/h2>\n<p>Nos analyses de vuln\u00e9rabilit\u00e9 sont effectu\u00e9es de mani\u00e8re r\u00e9currente, ce qui nous permet d&#8217;examiner la diff\u00e9rence entre le moment o\u00f9 une analyse a \u00e9t\u00e9 effectu\u00e9e sur un actif et le moment o\u00f9 une d\u00e9couverte donn\u00e9e sur cet actif a \u00e9t\u00e9 signal\u00e9e.  Nous pouvons appeler cela le r\u00e9sultat \u00ab \u00c2ge \u00bb.  Si les r\u00e9sultats signal\u00e9s pour la premi\u00e8re fois ne sont pas trait\u00e9s, ils se produiront dans plus d&#8217;analyses au fil du temps avec l&#8217;augmentation de l&#8217;\u00e2ge, et nous pouvons donc suivre l&#8217;\u00e9volution de l&#8217;\u00e2ge des r\u00e9sultats signal\u00e9s au fil du temps.<\/p>\n<p>Comme l&#8217;illustre clairement le graphique ci-dessous, la majorit\u00e9 des r\u00e9sultats r\u00e9els de notre ensemble de donn\u00e9es, \u00e0 tous les niveaux de gravit\u00e9, datent de 75 \u00e0 225 jours.  Il y a un deuxi\u00e8me \u00abpic\u00bb \u00e0 environ 300 jours, qui, selon nous, a plus \u00e0 voir avec l&#8217;\u00e2ge des donn\u00e9es dans l&#8217;ensemble de donn\u00e9es et peut donc \u00eatre ignor\u00e9.  Enfin, il y a une &#8220;bosse&#8221; fascinante \u00e0 environ 1 000 jours, qui, selon nous, repr\u00e9sente la &#8220;longue tra\u00eene&#8221; des r\u00e9sultats de l&#8217;ensemble de donn\u00e9es qui ne seront tout simplement jamais abord\u00e9s. <\/p>\n<p>75\u00a0% des r\u00e9sultats de la \u00ab\u00a0bosse\u00a0\u00bb de 1\u00a0000\u00a0jours sont de gravit\u00e9 moyenne, mais 16\u00a0% sont class\u00e9s comme \u00e9tant de gravit\u00e9 \u00e9lev\u00e9e ou critique. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEh6Y3SdPYLog_Kt7ZDRNBNRNrB-qEo-pGm8hF8bHBm5knhUt9oPxHbQSgjK0nB135tyqJijR34_CTQw_AlMQQ44iX3OKIm603THlbQGXY1wF7s26vx1dOg0NDkr9aFS3PvnkuopOOJrrudD4bEYcSK-pmtZx7S2zCuoGoswYBDi3yeTOlw9IkmUh9VQ\/s728-rj-e365\/4.jpg\" alt=\"\" border=\"0\" data-original-height=\"340\" data-original-width=\"728\"\/><\/div>\n<p>L&#8217;\u00e2ge moyen des r\u00e9sultats de notre ensemble de donn\u00e9es est autant influenc\u00e9 par les modifications de notre ensemble de clients et d&#8217;actifs que par tout facteur externe, comme le montre le degr\u00e9 \u00e9lev\u00e9 de variation.  Pourtant, il y a une nette augmentation de l&#8217;\u00e2ge moyen des r\u00e9sultats de 241\u00a0%, passant de 63 \u00e0 215 jours au cours des 24 mois depuis que nous avons int\u00e9gr\u00e9 les clients sur cette plateforme.<\/p>\n<p><strong>Le regroupement approximatif des r\u00e9sultats confirm\u00e9s de nos donn\u00e9es d&#8217;analyse des vuln\u00e9rabilit\u00e9s par \u00ab\u00a0groupe d&#8217;\u00e2ge\u00a0\u00bb r\u00e9v\u00e8le ce qui suit\u00a0:<\/strong><\/p>\n<ul>\n<li>Seuls 20\u00a0% de toutes les constatations sont trait\u00e9es en moins de 30\u00a0jours<\/li>\n<li>80\u00a0% de toutes les d\u00e9couvertes prennent 30\u00a0jours ou plus pour \u00eatre corrig\u00e9es<\/li>\n<li>57\u00a0% de tous les r\u00e9sultats mettent 90\u00a0jours ou plus \u00e0 \u00eatre corrig\u00e9s. <\/li>\n<li>215 jours Moyenne<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgZXX8uuFcQlRFb0L5Sf1B3Z2my7mh0-2ieadROJCuBaU6-6kXQiyvlXaqvw6NK2AFhJiVvKSplMLtb-UQx5dnAvbMpkh5HpeFkPsNWl7iPL9qdBXyHpJpCHSuC01AAVQoWOKkcEX14bbUZNX1lFhK5kPHzM5DoBdulgwVFvr6op_UAokbgH3yG-w6U\/s728-rj-e365\/2.jpg\" alt=\"\" border=\"0\" data-original-height=\"343\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>\u00c2ge moyen\/maxi des constatations par gravit\u00e9 <\/strong><\/h2>\n<p>Le tableau ci-dessous sugg\u00e8re que m\u00eame les vuln\u00e9rabilit\u00e9s critiques prennent environ 6 mois en moyenne pour \u00eatre r\u00e9solues, mais c&#8217;est encourageant d&#8217;au moins 36 % plus vite que le temps pour les probl\u00e8mes de faible gravit\u00e9.<\/p>\n<p>En examinant de plus pr\u00e8s les lectures du temps moyen par rapport au temps maximum pour diff\u00e9rentes cotes de criticit\u00e9, nous nous retrouvons avec le tableau ci-dessous. <\/p>\n<p>Alors que notre conclusion selon laquelle les probl\u00e8mes critiques sont r\u00e9solus plus rapidement repr\u00e9sente le temps d&#8217;att\u00e9nuation moyen, le temps maximum est constamment \u00e9lev\u00e9, quelle que soit la criticit\u00e9.<\/p>\n<p>Nous devrons surveiller davantage cette m\u00e9trique \u00e0 mesure que l&#8217;ensemble de donn\u00e9es se d\u00e9veloppera \u00e0 l&#8217;avenir. <\/p>\n<h2 style=\"text-align: left;\"><strong>Comparaison de l&#8217;industrie<\/strong><\/h2>\n<p>L&#8217;\u00e2ge maximal des r\u00e9sultats dans la vue ci-dessous sert autant \u00e0 indiquer depuis combien de temps les clients de cette industrie sont pr\u00e9sents dans notre ensemble de donn\u00e9es qu&#8217;autre chose, tandis que l&#8217;\u00e2ge moyen est un meilleur indicateur de la capacit\u00e9 des clients \u00e0 r\u00e9soudre les probl\u00e8mes. nous rapportons.  Les industries avec des maximums \u00e9lev\u00e9s et des moyennes basses feraient donc le meilleur, le maximum \u00e9lev\u00e9 et la moyenne haute\u2026 le \u00ab pire \u00bb.  Les industries avec des \u00e2ges maximaux tr\u00e8s bas ne figurent probablement pas dans l&#8217;ensemble de donn\u00e9es depuis tr\u00e8s longtemps et ne devraient donc peut-\u00eatre pas \u00eatre incluses dans les comparaisons sur cette m\u00e9trique.<\/p>\n<p><strong>Quelle que soit la mani\u00e8re dont ces industries sont compar\u00e9es, le r\u00e9sultat de l&#8217;\u00e2ge est une mesure pr\u00e9occupante.<\/strong><\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1674564329_915_Security-Navigator-Research-certaines-vulnerabilites-remontent-au-dernier-millenaire.jpg\" alt=\"\" border=\"0\" data-original-height=\"344\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>Quel \u00e2ge ont vraiment ces vuln\u00e9rabilit\u00e9s ?<\/strong><\/h2>\n<p>Jusqu&#8217;\u00e0 pr\u00e9sent, nous n&#8217;avons examin\u00e9 que le temps relatif, depuis le moment o\u00f9 nous avons d\u00e9couvert une vuln\u00e9rabilit\u00e9 dans un actif jusqu&#8217;\u00e0 maintenant (si elle est toujours pr\u00e9sente).  Cependant, cela ne nous donne aucune information sur l&#8217;\u00e2ge r\u00e9el de ces vuln\u00e9rabilit\u00e9s.  En examinant de plus pr\u00e8s les CVE trouv\u00e9s, nous pouvons analyser leurs dates de publication.  Les r\u00e9sultats sont quelque peu d\u00e9concertants, mais semblent correspondre \u00e0 l&#8217;image qui se d\u00e9gage : pour une raison ou une autre, certaines vuln\u00e9rabilit\u00e9s ne sont tout simplement pas corrig\u00e9es, jamais.  Ils font partie de la dette de s\u00e9curit\u00e9 que les entreprises accumulent.<\/p>\n<ul>\n<li>0,5\u00a0% des CVE signal\u00e9s ont 20\u00a0ans ou plus<\/li>\n<li>13 % des signalements de CVE datent de 10 ans ou plus<\/li>\n<li>47% des CVE ont 5 ans ou plus<\/li>\n<\/ul>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/1674564329_728_Security-Navigator-Research-certaines-vulnerabilites-remontent-au-dernier-millenaire.jpg\" alt=\"\" border=\"0\" data-original-height=\"367\" data-original-width=\"728\"\/><\/div>\n<h2 style=\"text-align: left;\"><strong>Conclusion<\/strong><\/h2>\n<p>Plus de 22 vuln\u00e9rabilit\u00e9s avec des CVE attribu\u00e9s sont publi\u00e9es chaque jour.  Avec un score CVSS moyen sup\u00e9rieur \u00e0 7 (gravit\u00e9 \u00e9lev\u00e9e), chacune de ces vuln\u00e9rabilit\u00e9s divulgu\u00e9es est un point de donn\u00e9es important qui affecte nos \u00e9quations de risque et notre exposition r\u00e9elle aux menaces. <\/p>\n<p>L&#8217;analyse des vuln\u00e9rabilit\u00e9s et les tests d&#8217;intrusion sont des m\u00e9canismes que nous utilisons pour comprendre les vuln\u00e9rabilit\u00e9s qui peuvent avoir un impact sur notre posture de s\u00e9curit\u00e9, comprendre leur impact potentiel, \u00e9tablir des priorit\u00e9s et prendre les mesures appropri\u00e9es.  Ces deux exercices d&#8217;\u00e9valuation ont une approche diff\u00e9rente, mais utilisent un langage similaire et ont un objectif similaire. <\/p>\n<p>Cette ann\u00e9e, nous incluons une analyse des ensembles de donn\u00e9es des deux services dans le navigateur.  C&#8217;est la premi\u00e8re fois que nous tentons cela, et nos donn\u00e9es sont encore loin d&#8217;\u00eatre parfaites. <\/p>\n<p>Ce que nous pouvons clairement voir, c&#8217;est que nous avons du mal \u00e0 g\u00e9rer les vuln\u00e9rabilit\u00e9s que nous connaissons.  En moyenne, il faut 215 jours \u00e0 nos clients pour corriger une vuln\u00e9rabilit\u00e9 que nous leur signalons.  C&#8217;est un peu moins pour les vuln\u00e9rabilit\u00e9s critiques \u2013 il semble qu&#8217;elles soient corrig\u00e9es 36 % plus rapidement que les probl\u00e8mes de gravit\u00e9 \u00ab faible \u00bb.  Mais le tableau est toujours sombre\u00a0: 80\u00a0% de tous les r\u00e9sultats mettent 30\u00a0jours ou plus \u00e0 \u00eatre corrig\u00e9s, 57\u00a0% prennent 90\u00a0jours ou plus. <\/p>\n<p>Nos \u00e9quipes de pentesting d\u00e9couvrent encore des vuln\u00e9rabilit\u00e9s qui ont \u00e9t\u00e9 identifi\u00e9es pour la premi\u00e8re fois en 2010, et nos \u00e9quipes de scan rencontrent des probl\u00e8mes qui remontent \u00e0 1999 !  En effet 47% des CVE ont 5 ans ou plus.  13 % ont 10 ans ou plus.  C&#8217;est un r\u00e9sultat pr\u00e9occupant.<\/p>\n<p>Ceci n&#8217;est qu&#8217;un extrait de l&#8217;analyse.  Plus de d\u00e9tails, comme la criticit\u00e9 des vuln\u00e9rabilit\u00e9s et les changements dans les r\u00e9sultats du Pentesting et de l&#8217;analyse VOC au fil du temps (ainsi qu&#8217;une tonne d&#8217;autres sujets de recherche int\u00e9ressants), peuvent \u00eatre trouv\u00e9s dans le <a rel=\"nofollow noopener\" href=\"https:\/\/www.orangecyberdefense.com\/global\/security-navigator?utm_source=hackernews&amp;utm_medium=media&amp;utm_campaign=sn2023\" target=\"_blank\">Navigateur de s\u00e9curit\u00e9<\/a>.  C&#8217;est gratuit, alors jetez un \u0153il.  \u00c7a en vaut la peine!<\/p>\n<p><i><b>Note: <\/b>Cet article informatif a \u00e9t\u00e9 con\u00e7u de mani\u00e8re experte et g\u00e9n\u00e9reusement partag\u00e9 par Charl van der Walt, responsable de la recherche en s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/security-navigator-research-some.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;analyse de la vuln\u00e9rabilit\u00e9 aboutit \u00e0 Navigateur de s\u00e9curit\u00e9 d&#8217;Orange Cyberdefenses montrent que certaines vuln\u00e9rabilit\u00e9s d\u00e9couvertes pour la premi\u00e8re fois en 1999 se retrouvent encore aujourd&#8217;hui dans les r\u00e9seaux. C&#8217;est pr\u00e9occupant. \u00c2ge des d\u00e9couvertes de COV Nos analyses de vuln\u00e9rabilit\u00e9 sont effectu\u00e9es de mani\u00e8re r\u00e9currente, ce qui nous permet d&#8217;examiner la diff\u00e9rence entre le moment [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":573603,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4789,4168,4158,4165,4161,1602,4157,4159,4171,4170,4167,92937,4160,53617,4163,4162,24189,89199,4172,4169,18347,4166,4164,12365],"class_list":["post-573602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-certaines","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dernier","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-millenaire","tag-mises-a-jour-de-la-cybersecurite","tag-navigator","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-remontent","tag-research","tag-securite-informatique","tag-securite-internet","tag-security","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/573602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=573602"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/573602\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/573603"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=573602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=573602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=573602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}