💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Un laptop avec l'ombre d'une main sur son clavier

MITRE publie la liste des 25 vulnérabilités logicielles les plus dangereuses en 2023

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

📚💡️idée de lecture : Cybersécurité: Le guide du débutant📘 Voir sur Amazon

L’organisme américain MITRE a analysé ses données pour établir son nouveau top 25 des vulnérabilités logicielles et c’est une bonne occasion de se rappeler l’importance d’avoir un code sécurisé.

Qui est MITRE?

MITRE est une organisation à but non lucratif basée aux États-Unis qui se concentre sur la recherche et le développement dans le s domaines de la technologie et de la sécurité principalement. Elle a été fondée en 1958 et est financée principalement par le gouvernement américain.

Dans le domaine de la sécurité, MITRE est surtout connu pour avoir développé le système de classification des vulnérabilités appelé Common Vulnerabilities and Exposures (CVE), ainsi que le système d’attribution des noms de logiciels malveillants, le Common Malware Enumeration (CME).

Quelle méthode pour identifier le top 25 des vulnérabilités ?

Pour établir la liste des 25 plus grosses faiblesses de 2023, l’équipe de MITRE s’est appuyée sur

  • les données CVE® (Common Vulnerabilities and Exposures) de la base de données nationale américaine sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST)
  • les scores CVSS (Common Vulnerability Scoring System) associés à chaque enregistrement CVE, en mettant l’accent sur les enregistrements CVE du catalogue KEV (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency (CISA).

Le top 25 est donc issu des ces bases de données sur lesquelles une formule a été appliquée aux données pour noter chaque faiblesse en fonction de sa prévalence et de sa gravité. L’ensemble des données analysées pour calculer le Top 25 2023 contenait pas moins de 43 996 enregistrements CVE issus les années 2021 et 2022.

Quel est le top 25?

Au sommet de la liste du top 25 des vulnérabilités des logiciels, se trouve à nouveau la même faiblesse que l’année passée, la CWE-787: Out-of-bounds Write. Celle-ci concerne des codes d’applications qui écrivent des données après la fin ou avant le début de la mémoire tampon prévue. Ceci entraîne typiquement des corruptions de données, des crashes ou permet l’exécution d’un code (potentiellement malicieux).

image
Cliquez sur l’image pour atteindre directement la lise des 25 vulns du top 25 pour 2023

Cette liste est bien sûr très technique mais cela rappelle les multiples dimensions de la sécurité à considérer pour sécuriser une application. Cela part de l’infrastructure jusqu’au dernier bout de code. La vulnérabilité la plus graves définira finalement le niveau global de sécurité.

Le code développé lui-même doit être exempt de vulnérabilité mais il est tout aussi important de s’assurer que les librairies utilisées sont elles aussi sans bugs. Bref une sacrée gageure qui doit faire l’objet d’audits continus lors de la génération du code, de la composition du code mais aussi d’audit de sécurité applicatif complémentaires.

Pour en savoir plus

image 1

MITRE releases new list of top 25 most dangerous software bugs

MITRE shared today this year’s list of the top 25 most dangerous weaknesses plaguing software during the previous two years.

(Re)découvrez également:

6 surfaces d’attaque à protéger impérativement
Des pirates organisent leur bug bounty

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏