Le terme « vulnérabilité » est souvent utilisé dans le domaine de la sécurité informatique et dans différents contextes.
Au sens le plus large, le terme « vulnérabilité » est associé à une violation de la politique de sécurité. Elle peut être due soit à des règles de sécurité trop faibles, soit à un problème au sein du programme. En théorie, tous les systèmes informatiques comportent des vulnérabilités. La gravité de ces dernières dépend de si elles peuvent être utilisées pour endommager le système.
Il y a eu plusieurs tentatives de définir clairement le terme « vulnérabilité » et de séparer les deux sens. MITRE, un groupe de recherche et de développement fédéral américain, s’est concentré sur l’analyse et la résolution de problèmes graves de sécurité. Le groupe a proposé les définitions suivantes :
Selon la terminologie CVE de MITRE :
[…] Une vulnérabilité universelle est un état dans un système informatique (ou un ensemble de systèmes) qui peut soit :GReAT
- Permettre à un attaquant d’exécuter des commandes en tant qu’autre utilisateur
- Permettre à un attaquant d’accéder à des données
- Permettre à un attaquant d’accéder à des données malgré leur caractère confidentiel
- Permettre à un attaquant de se faire passer pour quelqu’un d’autre
- Permettre à un attaquant de provoquer un déni de service
MITRE estime que lorsqu’une attaque est possible en raison d’une politique de sécurité faible ou inadaptée, il vaut mieux parler « d’exposition« .
Une exposition est un état dans un système informatique (ou un ensemble de systèmes) qui n’est pas une vulnérabilité universelle, mais qui peut soit :
- Permettre à un attaquant de collecter des informations
- Permettre à un attaquant de dissimuler des activités
- Comprendre une fonction qui tourne normalement, mais qui peut facilement être compromise
- Etre un point d’entrée primaire pour un attaquant qui essayerait d’accéder à un système ou à des données, ce qui est considéré comme un problème pour toute politique de sécurité sérieuse.
Lorsqu’un intrus essaie d’accéder de manière non autorisée à un système, il commence en général par effectuer un scanning de routine (c’est-à-dire, une enquête) sur sa cible, puis il collecte toutes les données « exposées » et, enfin, il exploite les points faibles des politiques de sécurité ou les vulnérabilités du système.