Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Sécurité nationale > Compréhension de la situation > Les 20 principales vulnérabilités en matière de sécurité Internet pour l'an 2004 selon SANS

Liens institutionnels

Les 20 principales vulnérabilités en matière de sécurité Internet pour l'an 2004 selon SANS

IN04-003
Date : 8 octobre 2004

Objet

Cette note d'information porte à l'attention des destinataires la diffusion le 8 octobre de la liste annuelle des 20 principales vulnérabilités en matière de sécurité Internet pour l'an 2004 selon le SANS Institute. SP a également participé à la diffusion d'un communiqué commun de la liste avec le SANS Institute et les gouvernements des États-Unis et du Royaume-Uni.

Évaluation

Ceci est la quatrième liste annuelle des 20 principales vulnérabilités diffusée par le SANS Institute. Elle correspond, en réalité, à deux listes des 10 principaux services les plus exploités dans les systèmes d'exploitation Windows d'une part et dans les systèmes d'exploitation basés sur UNIX et LINUX d'autre part. C'est suite à un consensus auquel sont parvenus un certain nombre d'intervenants individuels en matière de sécurité informatique que le choix s'est porté sur ces vulnérabilités comme étant celles qui étaient les plus ciblées lors de cyberattaques. Cette liste des 20 principales vulnérabilités s'accompagne aussi d'outils pour tester la présence de ces vulnérabilités dans les biens liés à la technologie de l'information ainsi que d'une description détaillée de chaque vulnérabilité et des mesures à prendre par les administrateurs de réseaux pour les corriger.

La liste complète des 20 principales vulnérabilités se trouve à l'adresse suivante : www.sans.org/top20.

Le SANS Institute considère la liste des 20 principales vulnérabilités comme un document évolutif qui reflète les vecteurs d'attaque en perpétuel devenir comme la messagerie instantanée et qui fournit aussi des mesures de prévention pour se protéger contre ces vulnérabilités. Au cours de l'année passée, SP a également diffusé des alertes et des avis liés à un certain nombre de vulnérabilités qui sont soulignées dans la liste des 20 principales vulnérabilités de cette année.

Les principales vulnérabilités relatives aux systèmes Windows

  • W1 Web Servers & Services
  • W2 Workstation Service
  • W3 Windows Remote Access Services
  • W4 Microsoft SQL Server (MSSQL)
  • W5 Windows Authentification
  • W6 Web Browsers (Navigateurs Web)
  • W7 File-Sharing Applications (Applications de partage de fichiers)
  • W8 LSAS Exposures
  • W9 Mail Client
  • W10 Instant Messaging (Messagerie instantanée)

Les principales vulnérabilités relatives aux systèmes UNIX

  • U1 BIND Domain Name System (Système de nommage de domaine Internet BIND
  • U2 Web Server (Serveurs Web)
  • U3 Authentification
  • U4 Version Control System
  • U5 Mail Transport Service
  • U6 Simple Network Management Protocol (SNMP)
  • U7 Open Secure Sockets Layer (SSL)
  • U8 Misconfiguration of Enterprise Services NIS/NFS
  • U9 Databases (Bases de données)
  • U10 Kernel

haut de la page

Mesures recommandées

SP recommande fortement aux administrateurs de systèmes de consulter la liste de 20 principales vulnérabilités et de s'assurer que leurs systèmes ont été fortifiés pour résister aux attaques fondées sur ces vulnérabilités. Comme toujours, les critères de sécurité de la TI doivent être tenus à jour et tous les systèmes devraient être corrigés convenablement. Dans le cadre de la liste de 20 principales vulnérabilités du SANS Institute, Qualys a permis l'accès un outil gratuit pour déceler les 20 principales vulnérabilités du SANS Institute. Il est disponible à l'adresse suivante : https://sans20.qualys.com

haut de la page

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2008-12-08
Haut de la page
Haut de la page
Avis importants