Sécurité : L’Agence déplore toujours trop de vulnérabilités connues non patchées. La moitié du top 10 des vulnérabilités connues les plus exploitées relevées renvoie à des failles découvertes et corrigées en… 2021.
Voilà qui va donner du grain à moudre à l’Anssi, qui lorgnait sur un nouveau pouvoir d’injonction pour inciter les organisations à réagir plus vite à ses alertes. A l’occasion de la présentation de son panorama de la cybermenace 2022, mardi 24 janvier, le cyber-pompier de l’Etat, qui vient de changer de patron, avec l’arrivée de Vincent Strubel aux manettes, a en effet une nouvelle fois déploré l’exploitation de vulnérabilités connues par des attaquants l’an passé.
Ainsi, la moitié du top 10 des vulnérabilités connues les plus exploitées relevées par l’Anssi en 2022 renvoie à des failles découvertes et corrigées en… 2021. “Le message fort à passer, c’est qu’attendre [pour installer les correctifs], c’est prendre des risques inconsidérés”, a rappelé Mathieu Feuillet, le sous-directeur des opérations de l’Anssi. “Il faut patcher et vite”, a-t-il ajouté.
En juin 2021, la lenteur dans l’installation des correctifs avait poussé l’Anssi à plaider pour un nouveau pouvoir d’injonction. Une disposition, à l’image des prérogatives de son homologue américaine, qui “serait une étape supplémentaire dans le développement de notre écosystème cyber et motiverait davantage encore ceux qui bénéficient de nos services”, avait alors expliqué Guillaume Poupard. L’ancien patron de l’Anssi avait notamment été agacé du très faible taux de retour après le signalement aux organisations concernées de 15 000 serveurs vulnérables aux failles Proxylogon.
Dix-huit mois plus tard, l’Anssi n’a pas précisé si elle comptait toujours sur un tel renforcement de ses attributions. La situation ne semble pourtant pas avoir fondamentalement changé. En 2022, selon le décompte de l’agence, quatre des dix failles les plus exploitées par les attaquants sont relatives à Microsoft Exchange. La plus utilisée, ProxyShell, corrigée en juillet 2021, permet de prendre le contrôle d’un serveur de messagerie. De même, les attaquants s’appuient sur la faille de la bibliothèque Apache Log4j, signalée en décembre 2021, pour exécuter du code arbitraire à distance et sur une vulnérabilité dans Atlassian confluence, corrigée en juin 2022, pour installer des portes dérobées sur des serveurs compromis.