L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014.
Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.
Selon ce rapport (qui ne prend en compte que les informations d’IBM, NDR), le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées). 74,5%, le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays. Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun. La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.
Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.
Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.