Lors de leur intervention à la conférence Black Hat USA 2022, les représentants de Trend Micro engagés dans le programme Zero Day Initiative (ZDI) ont annoncé des changements de politique visant à remédier à la baisse significative de la qualité des correctifs et de la communication entre fournisseurs de sécurité et leurs clients.

Brian Gorenc, senior director of vulnerability research et reponsable de la ZDI, est formel : « Le programme ZDI a divulgué plus de 10 000 vulnérabilités aux fournisseurs depuis 2005. Cependant, nous n’avons jamais été aussi préoccupés par l’état et la qualité des correctifs de sécurité sur le marché. Les fournisseurs qui diffusent des versions inadaptées avec des avis mal rédigés font perdre beaucoup de temps et donc d’argent à leurs clients et ajoutent des risques d’exploitation inutiles. »

La Zero Day Initiative a identifié trois problèmes majeurs liés à la diffusion de correctifs inadaptés ou incomplets par les éditeurs :
1. En raison des pratiques défectueuses des fournisseurs de sécurité, les entreprises n’ont plus une vision claire du risque réel pour leurs réseaux et leurs équipements.
2. Avec des mises à jour incomplètes ou non performantes, les entreprises dépensent davantage de temps et d’argent pour corriger ce qu’elles ont déjà traité.
3. Parce qu’elles estiment à tort que la correction a eu lieu, les entreprises courent un risque plus élevé. Un correctif mal conçu présente finalement plus de risques que l’absence de tout correctif.

Ces scénarii multiplient effectivement le coût des correctifs, car des mises à jour supplémentaires sont nécessaires pour remédier à une même vulnérabilité, ce qui entraîne un gaspillage des ressources de l’entreprise et induit des risques supplémentaires.

En outre, la réticence croissante des fournisseurs de sécurité à mettre à disposition de leurs clients informations fiables sur les correctifs, rédigées dans un langage simple, empêche les protecteurs/défenseurs du réseau d’évaluer avec précision leur exposition au risque.

La Zero Day Initiative modifie donc sa politique de divulgation des correctifs jugés inefficaces dans le but d’apporter des améliorations à la communauté des utilisateurs de services numériques. À l’avenir, le délai standard de 120 jours sera réduit pour les bugs/failles dont on pense qu’ils résultent du contournement d’un correctif de sécurité, comme suit :
– 30 jours pour les cas les plus critiques où l’exploitation est attendue,
– 60 jours pour les bugs de gravité critique et élevée pour lesquels le correctif offre certaines protections,
– 90 jours pour les autres degrés de gravité où aucune exploitation imminente n’est attendue.

Même lorsque les correctifs sont correctement conçus, ils peuvent involontairement augmenter le risque en alertant les acteurs de la menace sur la vulnérabilité sous-jacente. Rares sont les organisations dont le délai d’application des correctifs est plus court que le délai d’exploitation. Lorsque les correctifs sont incomplets ou défectueux, le risque de compromission est donc multiplié.
Bien que le coût des correctifs diffère selon les entreprises, Trend Micro applique la formule suivante :
Coûts totaux = f (T, HR, S, PF).

T est le temps consacré à la gestion des correctifs, HR représente le coût des ressources humaines nécessaires pour les spécialistes de la gestion des correctifs, S est assimilé au périmètre définissant le nombre d’applications à corriger et PF représente la fréquence des correctifs, qui peut être toutes les 2 ou 3 semaines pour certaines applications.

Il n’est pas rare que le coût des correctifs dans les moyennes et grandes entreprises se calcule chaque mois en dizaine voire centaine de milliers d’euros. _ Quelle que soit la formule utilisée pour calculer les dépenses liées aux correctifs, l’application de plusieurs mises à jour pour la même vulnérabilité coûte certainement aux entreprises du temps et de l’argent, tout en les exposant à des risques inutiles.
Pour mieux comprendre et atténuer ces risques, Trend Micro recommande aux entreprises de :
– Développer des programmes rigoureux de détection et de gestion des actifs.
– Prendre position, dans la mesure du possible, par un choix de solutions de sécurité émanant des fournisseurs jugés les plus fiables.
– Effectuer régulièrement des évaluations des risques qui vont au-delà du Patch Tuesday, par exemple en surveillant les révisions de correctifs et en observant de près les changements dans le domaine des cybermenaces.

Pour en savoir plus sur les changements de politique appliqués par la ZDI : https://www.zerodayinitiative.com/blog/2022/8/11/new-disclosure-timelines-for-bugs-from-faulty-patches

#Cybersécurité #0Day #ZeroDay #ZeroDayInitiative