Les différents types de vulnérabilité
Les vulnérabilités systèmes
Hier comme demain, aucun système n’est à l’abri de la divulgation et de l’exploitation par un code malveillant d’une vulnérabilité système, logicielle ou matérielle. Le Net foisonne de découvertes, de patchs et de correctifs ; cette course là est perdue d’avance.
Les vulnérabilités des outils de sécurité
Qu’importe la solution anti-virale ou anti-comportementale des outils de sécurité présente sur le système, nul n’est à l’abri d’un code outrepassant les limites imposées par l’outil. Sans compter les solutions obsolètes manquant de réactivité et n’incorporant pas -à temps- les définitions des menaces en quasi-temps réel.
Enfin, les vulnérabilités humaines
Trop peu de monde encore se sent concerné par la sécurisation de ses supports et de ses systèmes. Trop peu de monde ne perçoit encore la dangerosité des menaces de l’internet et de l’informatique en général. Naïf ou ignorant, l’utilisateur manque de perspective face aux enjeux de la criminalisation de l’outil informatique, et en maîtrise mal les concepts pour se protéger.
L’objectif est donc de définir une méthode permettant de pallier ces vulnérabilités, tout en n’en faisant pas pâtir les utilisateurs (fermeture totale des ports USB ou interdiction formelle de brancher des supports amovibles), et sans outrepasser les politiques de sécurité internes aux entités (interdiction d’utilisation d’applications non validées par un organisme interne de sécurité, par exemple). Puisque nous avons vu que les menaces peuvent être de différentes natures, nous allons encore une fois nous attacher à leur mécanisme de propagation, et à le neutraliser.
De même qu’il est appris au pompier qu’un incendie se déclare en présence de trois éléments indispensables (cf le Triangle du feu) : le combustible, le comburant et l’énergie d’activation, où l’absence d’un des trois éléments éteindra ou ne déclenchera pas d’incendie ; il en ira de la même façon dans le cas de nos menaces par périphériques amovibles. Supprimons le vecteur de propagation, et les menaces ne se déclareront pas, quelles qu’elles soient, et quels que soient leurs mécanismes d’exécution.
Dernière mise à jour le 17 mars 2019