Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Sécurité nationale > Compréhension de la situation > Les vingt principales vulnérabilités en matière de sécurité Internet pour l'an 2003

Liens institutionnels

Les vingt principales vulnérabilités en matière de sécurité Internet pour l'an 2003

Note d'information numéro : IN03-005
8 octobre 2003

But

Cette note d'information, diffusée par le BPIEPC, vise à attirer l'attention sur la publication du SANS Institute : « Les vingt principales vulnérabilités en matière de sécurité Internet pour l'an 2003 ».

Public

Cette note d'information est destinée principalement aux propriétaires et exploitants d'infrastructures canadiennes et, en particulier, aux administrateurs de la sécurité du réseau et au personnel de la sécurité cybernétique.

Information

Le US Department of Homeland Security (DHS) (Bureau de la Sécurité interne des États-Unis), le National Infrastructure Security Co-ordination Centre (NISCC) du Royaume-Uni et le BPIEPC, de concert avec le SANS Institute ont annoncé aujourd'hui les 20 vulnérabilités le plus souvent exploitées par les pirates. La présente liste est une mise à jour importante de la liste de l'année dernière et comprend de nouvelles vulnérabilités et supprime des vulnérabilités qui ne sont plus courantes.

La liste complète des vingt principales vulnérabilités et des documents connexes se trouve à l'adresse suivante : www.sans.org/top20/top20-v40-french.pdf (PDF 497Ko).

Cette mise à jour de la liste des vingt principales vulnérabilités correspond, en réalité, à deux listes des 10 dix principaux services : les 10 services vulnérables les plus exploités dans Windows et les 10 services les plus exploités dans Unix et Linux. Quoique chaque année ces systèmes d'exploitation fassent l'objet de milliers d'incidents de sécurité, la majorité alarmante des attaques réussies cible une ou plusieurs de ces 20 vulnérabilités. À l'échelle mondiale, environ 90 pour cent des ordinateurs utilisent les systèmes d'exploitation Windows, alors que huit pour cent utilisent Unix et Linux. Le 1er novembre 2002, l'entreprise de sécurité du réseau Mi2g a diffusé un rapport indiquant qu'environ la moitié des vulnérabilités de réseau découvertes au cours de l'exercice 2002 provenait du logiciel Microsoft, alors qu'environ le cinquième pourrait être associé aux systèmes d'exploitation Linux et Unix et au logiciel connexe.

Le document comprend également une liste des ports les plus explorés et attaqués, et suggère une série de meilleurs procédés pour configurer les pare-feu d'entreprise et de réseau.

Dans la liste des vingt principales vulnérabilités, chaque inscription comprend : une analyse de l'architecture de la vulnérabilité et ses possibilités d'exploitation, les systèmes d'exploitation touchés, la façon dont les utilisateurs peuvent déceler les vulnérabilités de leurs systèmes et les mesures correctives nécessaires.

La liste des vingt principales vulnérabilités comprend également certaines vulnérabilités graves que le BPIEPC a soulignées au cours de la même période d'analyse dans ses alertes, avis de sécurité et notes d'information. (Pour les indications importantes, veuillez consulter le Tableau 1.0)

Systèmes d'exploitation Windows Systèmes d'exploitation Unix/Linux

1. Serveur SQL Microsoft (MSSQL)

  • Analyse d'incident du BPIEPC IA03-001
    • IA03-001
  • Alerte du BPIEPC AL03-001

1. Open Secure Sockets Layer (SSL)

  • Alerte du BPIEPC AL03-011
  • Avis de sécurité du BPIEPC AV03-044

2. Microsoft Internet Explorer (IE)

  • Avis de sécurité du BPIEPC AV03-038, AV038-3a
  • Alerte du BPIEPC AL03-012

2. Sendmail

  • Avis de sécurité du BPIEPC AV03-018

3. Services d'information Internet (IIS)

  • Alerte du BPIEPC AL03-002
  

Tableau 1.0 – Résultats des opérations du BPIEPC concernant les vulnérabilités mentionnées dans la liste des « Vingt principales vulnérabilités »

Parmi les autres indications importantes, on retrouve : l'évaluation des procédures relatives à la protection du mot de passe dans les systèmes Windows et Unix, l'analyse de la vulnérabilité découlant des privilèges d'accès à distance d'un utilisateur peu sûr et les vulnérabilités inhérentes au partage de fichiers entre homologues.

Conclusion

Une sensibilisation concertée accrue et l'échange d'information efficace peuvent contrecarrer plusieurs de ces vulnérabilités. Le BPIEPC suggère que les administrateurs de la sécurité du réseau examinent la liste et s'assurent que tous leurs protocoles de sécurité sont à jour et que leurs systèmes sont adéquatement corrigés.

haut de la page

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2008-12-08
Haut de la page
Haut de la page
Avis importants