Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?
Qui craint le grand méchant loup ? Monsieur et Madame 1 % ?
Le nombre de vulnérabilités déclarées a augmenté de 24 % en 2022, 20 % en 2023, mais également de 30 % pour les seuls six premiers mois de 2024. Or, sur ces 22 254 failles de sécurité, il n'y en aurait que 204 à avoir été « militarisées » (soit à peine 0,91 %), et 6 seulement (0,027 %) seraient exploitées par des rançongiciels.
Qualys, comme beaucoup d’autres sociétés de sécurité informatique, publie régulièrement des chiffres sur la cybercriminalité. La plupart du temps, ces chiffres issus d’éditeurs de sécurité informatique ne sont qu’une indication, dont il faut se méfier, car cela sert souvent à mettre en avant les activités et produits de ces sociétés.
À nous de croiser les chiffres entre eux pour les remettre en perspective et les prendre pour ce qu’ils sont, une indication dont la pertinence dépend du sérieux de l’entreprise et de ses objectifs. Force est toutefois de constater que la collaboration est plus importante qu’avant et que l’échange d’information n’a pas toujours pour finalité première de vendre le dernier antivirus boosté à l’intelligence artificielle.
- Devenir expert en sécurité informatique en 3 clics
- Cybersécurité : des chercheurs qui ne manquent pas d’air
Commentaires (10)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousModifié le 16/08/2024 à 13h08
Ou encore à autre chose (facteur humain par exemple).
Le 16/08/2024 à 13h33
Cela dit, l'article se focus sur les CVE ^^
Modifié le 16/08/2024 à 13h36
Pour en revenir à l'article : j'ai l'impression que le QVS est un indicateur de risque (donc plus proche de l'EPSS), plus qu'un indicateur de criticité (= CVSS).
Il est dommage que le QVS soit autant cryptique. Qualys ne semble pas donner beaucoup de détail sur ce scoring, à peine un "active exploitation, exploit maturity, and visibility on both the dark web and social media". En googlant un peu, on voit aussi d'autres params comme le CVSS ou le CISA KEV, mais ca va pas beaucoup plus loin malheureusement.
Ceux qui bossent dans la sécu vont me répondre "t'es bien gentil ElCroco, mais l'EPSS c'est pareil". Oui et c'est d'ailleurs un reproche que je fais à EPSS et c'est très chiant car on doit croire l'EPSS les yeux fermés.
Cependant :
- il est beaucoup plus large car non limité à Qualys : tout le monde peut l'utiliser
- le FIRST (à l'origine de l'EPSS) n'est pas une entreprise et n'a pas d'intérêt à gagner de la grosse thunasse. Donc j'y vois moins d'arguments commerciaux,
- l'EPSS prend en compte des métriques de nombreux acteurs de la sécu qui voient la réalité du terrain (eg. éditeurs EDR, MS, etc qui peuvent donner de manière précise le nombre de vulns réellement exploitées, alors que Qualys peut être pas...
De plus, le gars de chez Qualys est bien mignon, sauf qu'un EPSS de 0.9, c'est ENORME ! On sait que l'EPSS a une courbe plutôt logarithmique ( https://www.first.org/epss/articles/epss_percentiles.png ) donc il est normal qu'avec un EPSS en 0.9 il n'y ait que très peu de vuln. Par contre, vu qu'on n'a aucune idée de comment fonctionne QVS, il est compliqué de faire une comparaison (95/100 vs 0.9) vu de l'extérieur. Du coup, il peut bien sortir les chiffres qu'il veut, ça nous avance en rien x)
Le problème d'ailleurs, avec son analyse de 63% de vulns critiques par le QVS vs ~19% via EPSS, c'est qu'on ne sait pas où est la réalité ^^'
Est ce que ces 63% sont vraiment dangereuses et on va se faire péter soon, ou alors, est ce que seules celles de l'EPSS sont réellement dangereuses ? Je peux très bien pondre un indicateur custom qui dit que "moi j'ai raison, et pas l'EPSS".
Concernant les chiffres et leur évolution : il est impossible de revenir en arrière, on ne pourra pas avoir de baisse du nombre de CVE par an (en tout cas pas tant qu'on ne modifiera pas le système dans sa globalité), ou alors de manière conjoncturelle :
- il y a toujours plus de softwares
- la sécurité est toujours plus à la mode
- la FAME. Les "chercheurs en sécurité", faut pas oublier qu'une partie d'entre eux ils veulent juste être en mode kikitoodur à pouvoir dire "Regardez, j'ai trouvé plein de vulns, je suis donc forcément quelqu'un d'important"
Par contre, l'EPSS (ou même le QVS hein) est un outil intéressant car il permet de mettre en lumière la priorisation. "OK il y a 22k vulns, mais j'ai pas le temps de toutes les traiter, donc quelles sont celles que je dois faire en prio ?"
Ca se résume à "Si j'ai une fuite d'eau et un clou à planter chez moi, lequel je vais choisir en premier ?"
Le 16/08/2024 à 18h29
Modifié le 16/08/2024 à 23h04
Merci pour ton retour, toujours agréable de se dire que le lien journaliste/lecteur est fort sur Next !
Là où on diffère sur l'analyse, c'est que je vois le QVS comme un "remplaçant" (selon Qualys en tout cas) à EPSS, plus qu'un mix entre CVSS et EPSS, puisque le QVS semble prendre le même type de metrics
Btw, en soi, je n'ai rien contre QVS, il est déjà arrivé que des initiatives privées soient meilleures que des efforts communs, et in fine c'est le meilleur système qui prendra le lead que ça soit EPSS ou QVS. J'ai par contre quelque chose contre le "on est mieux" sans analyse complète, sans explication du fonctionnement et sans statistiques. Ca fait un peu vendeur de tapis pour moi
Ce qu'il faut c'est soit un beau paper, soit du temps pour que la commu se rende compte du meilleur système.
Je te rejoins par contre sur le fait que Qualys est une société effectivement de premier plan, aucun débat là dessus. D'ailleurs on le voit très bien au niveau technique, ils nous sortent des vulns bien vénères assez souvent (coucou regresshion),
Je te rejoins aussi sur le fait qu'EPSS est pour l'instant moins connu que CVSS. (un peu) plus compliqué à appréhender, beaucoup plus récent, les 2 premières versions étaient pas folles, c'est closed source, et c'est aussi moins vendeur de dire "Ya une nouvelle vuln critique mais l'EPSS est de 0.001" dans les sites putaklic ^^
Néanmoins, il commence à se démocratiser de plus en plus dans la commu.
(et oui c'est moi qui ai fait la remarque via le signalement
PS : et voilà, encore un message étoffé alors que je voulais juste te répondre rapidement
PS2 : Au passage, pour tous ceux que ça intéresse, le paper arxiv de l'EPSS : https://arxiv.org/pdf/2302.14172. Même si on n'a pas tout le détail, on apprend quand même une partie des metrics utilisées. Contrairement au QVS
Modifié le 16/08/2024 à 16h12
Le 16/08/2024 à 18h17
De là, tu devrais pouvoir récupérer la liste des CVEs avec kernel.org comme CNA et faire tes petites stats kivonbien :)
Après quelques checks rapides, il semble que le CNA soit "linux" dans les json GH.
Exemple pour la CVE-2024-42229 :
- https://www.cve.org/CVERecord?id=CVE-2024-42229 // on voit bien kernel.org comme CNA
- https://github.com/CVEProject/cvelistV5/blob/main/cves/2024/42xxx/CVE-2024-42229.json // dans les data json, le shortname est Linux
Le 16/08/2024 à 16h46
Le 16/08/2024 à 17h57
De plus, cette solution, c'est à vérifier vuln par vuln, vu qu'elles ont potentiellement des spécificités différentes (versions spécifique, composant activé ou non, etc).
Tu peux aussi le faire proactivement et faire un gros nessus samer sur 0.0.0.0/0, mais je pense que tu vas avoir quelques soucis (autant légaux que techniques
, et non pas lego technics)Le 16/08/2024 à 18h07
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?