Vulnérabilité informatique

Une vulnérabilité informatique est une faiblesse ou une faille dans un système d'information — logiciel, matériel, protocole réseau ou configuration — susceptible d'être exploitée par un acteur malveillant pour compromettre l'intégrité, la disponibilité ou la confidentialité des données et des services. Ce concept est central en cybersécurité et recouvre un spectre large, allant d'une erreur de codage dans une application web à la mauvaise configuration d'un équipement réseau. Selon le NIST (National Institute of Standards and Technology), plus de 29 000 vulnérabilités ont été référencées dans la base nationale américaine (NVD) en 2023, contre 8 051 en 2016, illustrant une croissance structurelle du risque numérique.

La vulnérabilité informatique se distingue de deux notions voisines : la menace (agent ou événement pouvant causer un préjudice) et le risque (probabilité que la menace exploite la vulnérabilité, combinée à l'impact potentiel). Ces trois concepts forment le triptyque fondamental de la gestion du risque selon l'ISO/IEC 27005.

La notion de surface d'attaque désigne l'ensemble des points d'entrée exposés d'un système. Sa réduction — suppression des services inutiles, restriction des droits d'accès, cloisonnement réseau — constitue l'un des principes fondamentaux de la sécurité défensive.

La triade CIA (Confidentiality, Integrity, Availability) définit les trois propriétés susceptibles d'être atteintes lors de l'exploitation d'une vulnérabilité :

• Confidentialité : accès non autorisé à des informations sensibles ;
• Intégrité : modification non autorisée des données ou du comportement d'un système ;
• Disponibilité : interruption de service ou destruction de ressources.

Le système de notation CVSS (Common Vulnerability Scoring System), maintenu par le FIRST (Forum of Incident Response and Security Teams), distingue quatre vecteurs d'attaque dans sa version 3.1 :

Vecteurs d'attaque selon CVSS 3.1

Vecteur	Code	Description	Exemple typique
Réseau	N	Exploitable à distance via le réseau sans accès physique ni privilège préalable	Injection SQL sur une API publique
Réseau adjacent	A	Nécessite l'accès au même segment réseau local ou physique	Attaque ARP spoofing sur un LAN
Local	L	Nécessite un accès authentifié à la machine cible	Élévation de privilèges via un binaire SUID sous Linux
Physique	P	Nécessite un contact physique direct avec l'équipement	Attaque cold boot sur la mémoire vive

Le projet OWASP (Open Worldwide Application Security Project) publie depuis 2003 un classement des dix vulnérabilités applicatives les plus répandues. En 2021, le OWASP Top 10 listait :

1. Contrôle d'accès défaillant (Broken Access Control) — premier rang pour la première fois ;
2. Défaillances cryptographiques (anciennement « exposition de données sensibles ») ;
3. Injection (SQL, LDAP, NoSQL, commandes OS) ;
4. Conception non sécurisée (Insecure Design) — catégorie introduite en 2021 ;
5. Mauvaise configuration de sécurité (services non durcis, comptes par défaut actifs, permissions excessives).

Le score CVSS attribue une valeur de 0,0 à 10,0, répartie en cinq niveaux : None (0,0), Low (0,1–3,9), Medium (4,0–6,9), High (7,0–8,9) et Critical (9,0–10,0). Un score de 10,0 caractérise une vulnérabilité exploitable à distance, sans authentification préalable, avec impact total sur les trois dimensions de la triade CIA. La faille CVE-2021-44228, affectant la bibliothèque Apache Log4j 2 (dite « Log4Shell »), a reçu un score CVSS 3.1 de 10,0 et a touché des centaines de millions de systèmes dans le monde à partir de décembre 2021.

Une vulnérabilité peut être identifiée par plusieurs acteurs aux motivations et méthodes distinctes :

• des chercheurs en sécurité indépendants ou des équipes internes lors d'audits de cybersécurité ou de tests d'intrusion ;
• des équipes red team mandatées pour simuler des attaquants dans un cadre contractuel ;
• des participants à des programmes de bug bounty, tels que les plateformes HackerOne ou Bugcrowd — des récompenses atteignant plusieurs centaines de milliers de dollars sont versées pour des failles critiques sur des systèmes très exposés ;
• des acteurs malveillants, qui peuvent conserver la faille secrète et l'exploiter ou la revendre sur des marchés clandestins avant toute divulgation publique.

La divulgation responsable (coordinated vulnerability disclosure) est le processus par lequel le découvreur notifie le fournisseur ou l'éditeur concerné avant toute publication, lui accordant un délai convenu pour produire et diffuser un correctif. Google Project Zero a popularisé en 2014 la norme de 90 jours : à l'expiration de ce délai, les détails techniques sont publiés même en l'absence de correctif disponible.

À l'opposé, la full disclosure (divulgation totale) consiste à rendre publics immédiatement tous les détails techniques, sans coordination préalable avec le fournisseur. Cette approche est controversée car elle expose les utilisateurs dans l'intervalle entre la publication et le déploiement d'un correctif.

La fenêtre de vulnérabilité est l'intervalle compris entre l'introduction de la faille dans le code et son élimination sur l'ensemble des systèmes exposés. Selon Qualys Threat Research, le délai médian d'application des correctifs par les entreprises dépassait 60 jours en 2022. Des groupes d'attaquants commencent à exploiter certaines failles dans les 24 heures suivant la publication d'un correctif, en procédant par rétro-ingénierie du patch pour identifier la correction effectuée.

La gestion des correctifs (patch management) comprend l'identification, le test et le déploiement des mises à jour de sécurité dans les délais prescrits. Le rapport Verizon DBIR (Data Breach Investigations Report) 2023 indique qu'une proportion significative des violations documentées impliquait des vulnérabilités connues pour lesquelles un correctif existait mais n'avait pas été appliqué sur les systèmes affectés.

Le système CVE (Common Vulnerabilities and Exposures), créé en 1999 par la MITRE Corporation avec le soutien du DHS (Department of Homeland Security), attribue un identifiant normalisé à chaque vulnérabilité publiquement connue, selon le format CVE-AAAA-NNNNN. En 2024, le dictionnaire CVE dépassait 230 000 entrées. Chaque entrée contient une description synthétique de la faille, la liste des produits affectés (via leurs numéros de version) et les références aux bulletins de sécurité des éditeurs.

La NVD (National Vulnerability Database) du NIST enrichit chaque entrée CVE avec un score CVSS, des données de configuration affectée au format CPE (Common Platform Enumeration) et des liens vers les correctifs disponibles. La version CVSS 4.0, publiée en octobre 2023, introduit des métriques spécifiques aux environnements OT/ICS (operational technology / industrial control systems) et aux systèmes embarqués, comblant un angle mort des versions précédentes.

Le CWE (Common Weakness Enumeration), également géré par MITRE, catalogue les types génériques de faiblesses logicielles et matérielles à l'origine des vulnérabilités CVE. Parmi les entrées les plus référencées figurent CWE-79 (cross-site scripting), CWE-89 (injection SQL) et CWE-120 (dépassement de tampon). Cette taxonomie guide les pratiques de développement sécurisé (secure coding) et oriente les revues de code automatisées.

Les attaques par injection exploitent l'absence de validation et d'assainissement des données fournies par un utilisateur. L'injection SQL consiste à insérer des commandes SQL dans un champ de formulaire ou un paramètre d'URL, permettant à l'attaquant d'exfiltrer ou de modifier des données en base, voire de prendre le contrôle du serveur de base de données. L'injection de commandes OS permet l'exécution de commandes système arbitraires sur le serveur hébergeant l'application.

Le dépassement de tampon (buffer overflow) survient lorsqu'un programme écrit des données au-delà des limites d'un tampon alloué en mémoire, écrasant potentiellement des données adjacentes ou l'adresse de retour d'une fonction, ce qui permet l'exécution de code arbitraire. Cette classe de vulnérabilité est à l'origine de certains exploits historiques majeurs, dont le Morris Worm (1988), premier ver à se propager à grande échelle sur l'internet, et le ver Blaster (2003) qui a infecté des millions de machines Windows XP.

Le XSS (cross-site scripting) permet d'injecter du code JavaScript malveillant dans des pages web consultées par d'autres utilisateurs, conduisant au vol de cookies de session, à la redirection vers des sites de hameçonnage ou à l'exécution de code dans le contexte du navigateur de la victime. Le XSS réfléchi (reflected XSS) s'appuie sur un lien malveillant partagé par l'attaquant ; le XSS stocké (stored XSS) injecte le code directement dans la base de données du site cible, affectant tous les visiteurs ultérieurs.

Une vulnérabilité zero-day (ou 0-day) désigne une faille inconnue du fournisseur au moment de son exploitation, ne bénéficiant donc d'aucun correctif disponible. Ces vulnérabilités constituent des ressources de haute valeur sur les marchés offensifs : le courtier Zerodium valorisait en 2021 certains zero-days iOS ou Android à des sommes comprises entre 500 000 et 2,5 millions de dollars. Elles sont exploitées notamment dans des campagnes de cyberespionnage étatique (Stuxnet, Pegasus) et par des groupes criminels organisés pour déployer des ransomwares.

L'élévation de privilèges (privilege escalation) permet à un attaquant disposant d'un accès initial limité d'acquérir des droits supérieurs (administrateur, root, SYSTEM). Elle peut être locale — exploitation d'une faille du noyau ou d'un binaire mal configuré — ou s'appuyer sur des vulnérabilités dans des protocoles réseau. Elle constitue fréquemment la deuxième étape d'une chaîne d'exploitation (exploit chain) après l'intrusion initiale.

Les erreurs de configuration représentent une part croissante des incidents documentés. Le rapport CrowdStrike 2023 indique que des erreurs de configuration dans les environnements cloud ont été impliquées dans plus de 60 % des incidents liés à ces infrastructures. Les causes les plus fréquentes incluent : comptes d'administration aux identifiants par défaut non modifiés, compartiments de stockage cloud accessibles publiquement, ports inutiles exposés sur internet et absence de chiffrement des données au repos ou en transit.

La gestion des vulnérabilités (vulnerability management) est un processus continu structuré en quatre phases :

1. Identification : scan automatisé via des outils comme Nessus, Qualys, OpenVAS ou Tenable.io, complété par des tests d'intrusion manuels et des revues de code ;
2. Évaluation et priorisation : cotation par score CVSS, enrichie par l'EPSS (Exploit Prediction Scoring System), qui estime la probabilité d'exploitation active dans les 30 jours suivant la publication, et pondérée par la criticité métier des actifs concernés ;
3. Remédiation : application des correctifs éditeurs, déploiement de contre-mesures compensatoires — pare-feu applicatif (WAF), segmentation réseau, authentification multifacteur — lorsqu'un correctif n'est pas immédiatement disponible ;
4. Vérification : nouveau scan pour confirmer l'élimination effective de la faille sur l'ensemble du périmètre.

Les plateformes SIEM et les équipes SOC assurent la surveillance continue et la détection des tentatives d'exploitation en temps réel. L'adoption du modèle Zero Trust limite les mouvements latéraux en cas de compromission partielle, en imposant une vérification systématique de chaque accès. La gestion des identités et des accès (IAM) réduit la surface d'attaque en supprimant les droits superflus et en appliquant le principe du moindre privilège.

La norme ISO/IEC 27001 (version 2022) exige des organisations certifiées la mise en œuvre d'un processus formel de gestion des vulnérabilités techniques (contrôle 8.8), incluant l'identification en temps opportun des vulnérabilités affectant les systèmes d'information et leur traitement selon un niveau de risque évalué et documenté.

La directive NIS2 (2022/2555), applicable depuis le 17 octobre 2024 dans les États membres de l'Union européenne, impose aux entités essentielles et importantes des obligations de gestion des risques de cybersécurité, incluant des politiques de traitement des vulnérabilités, la réalisation d'audits de cybersécurité réguliers et la notification d'incidents significatifs dans un délai initial de 24 heures auprès des autorités compétentes.

Le Cyber Resilience Act européen, entré en vigueur en 2024, introduit des obligations pour les fabricants de produits comportant des éléments numériques : traitement des vulnérabilités connues pendant toute la durée de support commerciale, notification à l'ENISA dans les 24 heures en cas d'exploitation active d'une vulnérabilité, et mise en place d'une politique de divulgation responsable coordonnée.

En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie via le CERT-FR des avis et bulletins de sécurité classant les vulnérabilités par niveau de criticité (de 1 à 4) et formulant des recommandations de remédiation assorties de délais. L'ANSSI est également l'autorité nationale désignée pour la transposition et le contrôle de l'application de la directive NIS2 sur le territoire français.

La gestion des vulnérabilités mobilise plusieurs profils spécialisés :

• L'ingénieur en cybersécurité intègre les pratiques de sécurité dans le cycle de développement logiciel (DevSecOps, Security by Design) et conçoit les architectures techniques réduisant la surface d'attaque ;
• Le RSSI pilote la politique de sécurité de l'organisation, arbitre la priorisation des remédiations selon le risque métier et rend compte aux instances dirigeantes ;
• Les analystes SOC traitent les alertes remontées par les outils de détection et assurent la veille sur les nouvelles vulnérabilités publiées ;
• Les pentesters et équipes red team identifient proactivement les failles exploitables avant que des acteurs malveillants ne le fassent.

Les certifications reconnues dans le domaine incluent le CEH (Certified Ethical Hacker, EC-Council), l'OSCP (Offensive Security Certified Professional, OffSec) et le CISSP (Certified Information Systems Security Professional, ISC²).

• Cyberattaque
• Cybersécurité des PME
• Intelligence artificielle en cybersécurité
• Plan de continuité d'activité
• Plan de reprise d'activité informatique
• Sauvegarde informatique
• Blockchain et cybersécurité