Sans vous faire peur, il est probable que tous vos logiciels sur ordi et applications sur smartphone contiennent au moins une faille de sécurité logicielle qui n’a pas encore été découverte. Cette vulnérabilité peut permettre de causer des dégâts sur votre appareil, violer votre vie privée ou voler votre argent. En particulier les failles « zero day » ne sont pas connues par les éditeurs de logiciel. C’est pourquoi leur exploitation fait partie des catégories de logiciels malveillants et je vous dirai pourquoi. Enfin vous verrez en fin d’article une solution pratique pour réduire ce risque. Pour l’instant on commence par la définition d’une vulnérabilité logicielle.
Définition d’une faille de sécurité logicielle
Une faille de sécurité logicielle ou vulnérabilité logicielle est un dysfonctionnement ou un défaut de protection dans un logiciel. Et un pirate ou un programme nuisible cherche à l’exploiter. Pour s’introduire sur votre ordinateur ou smartphone à distance et y exécuter un programme malveillant. Ou pour y installer une porte dérobée discrète ad vitam æternam ou saccager votre système. Toutes les catégories de logiciels malveillants peuvent être exécutées ou installées sur votre ordi par ce moyen.
Le bouc émissaire
J’entends dire souvent qu’une vulnérabilité est un défaut de conception ou de réalisation d’un programme, dans cette page par exemple. En dehors d’une minorité d’applications soumises à des risques de sécurité particuliers, cette opinion est le résultat d’une ignorance complète des contraintes de développement logiciel professionnel et donc d’une incompréhension totale du problème.
Non, le logiciel concerné par cette vulnérabilité fonctionne très bien. En effet il remplit bien toutes les fonctions pour lesquelles il a été très bien conçu et réalisé. Et il donne entière satisfaction aux utilisateurs auxquels il est destiné. Que ce soit un navigateur, une messagerie ou une fonction de Windows ou Android ou MacOS, pour ne choisir que quelques exemples.
Mais un usage détourné de cette application, effectué par un pirate, met en évidence une faille de sécurité logicielle qui ne serait jamais apparue dans le cadre de l’usage normal de ce programme.
De plus ni le client, ni la maîtrise d’ouvrage ne demande jamais de prendre en compte la sécurité informatique au cours du développement de l’application. Ainsi la sécurité informatique n’est jamais prise en compte dans ce contexte. Et c’est un développeur informatique professionnel depuis trente ans qui vous le dit.
Dans le système d’exploitation
Le système d’exploitation (Windows, Linux, MacOS, Android …) permet d’utiliser votre matériel. Il inclut des programmes qui présentent parfois une faille de sécurité logicielles notamment ceux liés à votre connexion Internet.
On découvre de nouvelles vulnérabilités régulièrement.
Et des programmes nuisibles prêts à l’emploi permettent de chercher automatiquement, sur un ordinateur distant, des centaines de failles de sécurité logicielles connues. Ainsi ils visent entre autres le système d’exploitation, tel que Windows, Linux, Mac OS ou Android.
Dans les applications Internet
Les navigateur, lecteur d’emails et de news représentent le point le plus faible de votre système concernant les malware sur Internet. Les sites Web, emails, news et téléchargements sont les sources d’empoisonnement potentiel de toutes sortes ( code parasite autopropageable, trojan …).
Tous les logiciels exploitant le réseau Internet d’une manière ou d’une autre, représentent un risque potentiel. Chacun peut comporter une faille de sécurité logicielle ou divulguer des informations dangereuses pour votre système.
Certaines applications de chat ( dialogue en ligne ) sont une aubaine pour les pirates pour connaître votre adresse IP et ainsi tenter une intrusion sur votre système ou une déconnexion à distance.
Des serveurs Web divulguent parfois votre adresse IP aux autres membres connectés. Et ils peuvent aussi comporter une faille de sécurité logicielle ( pages Web, FTP, etc … ).
Les programmes très utilisés dans le monde ( Internet Explorer, Outlook ) représentent un risque majeur. Puisque les pirates y cherchent des vulnérabilités logicielles en priorité pour avoir un impact maximal.
Voici la solution aux problèmes posés par les vulnérabilités logicielles.
Comment se protéger ? Par la mise à jour des applications
C’est le point sensible de la sécurité informatique. En effet tout programme soi-disant sûr comporte au moins une faille de sécurité logicielle qui n’a pas encore été découverte.
Mais les patchs de sécurité des éditeurs permettent de colmater les plus connues. Et les pirates n’exploitent pas toutes les vulnérabilités logicielles parce qu’elles sont difficiles à identifier.
Enfin pour bien vous protéger des failles de sécurité logicielles, mettez à jour vos logiciels régulièrement. Pour combler les vulnérabilités logicielles avec des patchs de sécurité publiés par les éditeurs.
Vous en saurez plus en cliquant ici : faîtes les mises à jour des applications ou mourrez ! Il s’agit du système Windows, Android, Linux, MacOS, iOS, mais aussi des navigateurs et messageries, des logiciels de sécurité, et de toutes les applications communicantes sur Internet ou non.
Pour en savoir plus
En cybersécurité, qu’est-ce qu’une vulnérabilité ? Est-ce qu’elle mènent toutes à une cyberattaque ? Comment sont-elles identifiées et résolues ?