Après les failles Zero-Day, place aux Any-Day

Entre les intrusions ciblées (dites APT) et les failles Java à répétition, tout le monde est désormais familiarisé avec le concept de faille Zero-Day (faille logicielle exploitée dans la nature mais inconnue de l'éditeur) ou Demi-Day (faille publiquement documentée pour laquelle le correctif est encore très peu déployé, comme Exynos, qui existe actuellement sur les smartphones Samsung).

La protection contre les failles Zero-Day est un graal que poursuivent de nombreux éditeurs de produits de sécurité, avec un relatif (in)succès. Mais ce n’est pas l'objet de ce billet. Etant confronté quotidiennement à des attaques ciblées d'une complexité plus ou moins importante, j'aimerais toutefois rappeler qu'il existe une famille de failles beaucoup plus dangereuse et largement mise de côté par les défenseurs : celles que je baptise aujourd'hui officiellement sous le nom d’Any-Day. Lire la suite de l'article...

Auteur : Nicolas Ruff, chercheur en sécurité informatique chez EADS, 01net..

Sur le même thème :

• Responsabiliser les éditeurs face aux failles de leurs logiciels par Stéphane Bellec, 01net
• 90 % des mots de passe peuvent être piratés par Cécile Bolesse, 01net
• Le classement des pires mots de passe (en)
• Un testeur de mot de passe pédagogique (en)
• Google souhaite faire disparaître les mots de passe par La rédaction de ZDNet.fr