Résumé
Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité ou à l'intégrité des données qu'il contient. Ces vulnérabilités sont la conséquence de faiblesses dans la conception, la mise en œuvre ou l'utilisation d'un composant matériel ou logiciel du système, mais il s'agit souvent d'anomalies logicielles liées à des erreurs de programmation ou à de mauvaises pratiques. Ces dysfonctionnements logiciels sont en général corrigés à mesure de leurs découvertes, mais l'utilisateur reste exposé à une éventuelle exploitation tant que le correctif (temporaire ou définitif) n'est pas publié et installé. C'est pourquoi il est important de maintenir les logiciels à jour avec les correctifs fournis par les éditeurs de logiciels. La procédure d'exploitation d'une vulnérabilité logicielle est appelée exploit. Les vulnérabilités informatiques proviennent souvent de la négligence ou de l'inexpérience d'un programmeur. Il peut y avoir d'autres causes liées au contexte comme l'évolution des technologies, notamment en cryptographie. Une vulnérabilité permet généralement à l'attaquant de duper l'application, par exemple en outrepassant les vérifications de contrôle d'accès ou en exécutant des commandes sur le système hébergeant l'application. Quelques vulnérabilités surviennent lorsque l'entrée d'un utilisateur n'est pas contrôlée, permettant l'exécution de commandes ou de requêtes SQL (connues sous le nom d'injection SQL). D'autres proviennent d'erreurs d'un programmeur lors de la vérification des buffers de données (qui peuvent alors être dépassés), causant ainsi une corruption de la pile mémoire (et ainsi permettre l'exécution de code fourni par l'attaquant). La méthode de publication des vulnérabilités est un sujet qui fait débat au sein de la communauté de la sécurité des systèmes d'information.
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.
Cours associés (3)
COM-418: Computers and music
In this class we will explore some of the fundamental ways in which the pervasiveness of digital devices has completely revolutionized the world of music in the last 40 years, both from the point of v
COM-301: Computer security and privacy
This is an introductory course to computer security and privacy. Its goal is to provide students with means to reason about security and privacy problems, and provide them with tools to confront them.
COM-506: Student seminar: security protocols and applications
This seminar introduces the participants to the current trends, problems, and methods in the area of communication security.
Séances de cours associées (88)
Sécurité des logiciels : sécurité de la mémoire et attaques d'exécution
Couvre la sécurité de la mémoire, les attaques d'exécution, les vulnérabilités et les mécanismes de défense en matière de sécurité logicielle.
Malware: Introduction
Présente les bases des logiciels malveillants, leur distribution, les raisons de leur augmentation et la taxonomie.
Pensée antagoniste: Défenseur - Modélisation des menaces
Plonge dans la pensée contradictoire et les méthodologies de modélisation des menaces pour améliorer les stratégies de défense.
Afficher plus
Publications associées (74)
Concepts associés (41)
Injection de code
vignette|Qu'est-ce que l'injection de code ? (anglais) Une injection de code est un type d'exploitation d'une faille de sécurité d'une application, non prévue par le système et pouvant compromettre sa sécurité, en modifiant son exécution. Certaines injections de code ont pour but d'obtenir une élévation des privilèges, ou d'installer un logiciel malveillant. Il s'agit aussi du mode de propagation des vers informatiques. Injection de code dans les applications web Injection SQL Catégorie:Exploit (informatiqu
Divulgation complète
En sécurité informatique, la divulgation complète (en anglais, full disclosure) est la pratique consistant à publier les vulnérabilités des logiciels jusqu'alors inconnues à tous le plus tôt possible, ce qui rend les données accessibles à tous sans restrictions. Des chercheurs bien intentionnés et des pirates informatiques découvrent souvent des défauts dans des logiciels. Ces défauts peuvent être exploités par les pirates informatiques pour provoquer des comportements anormaux des logiciels et ainsi nuire aux utilisateurs des logiciels.
Sécurité de l'information
vignette|alt=Symbole de sécurité de l'information|Symbole de sécurité de l'information. La sécurité de l'information est un ensemble de pratiques visant à protéger des données. La sécurité de l'information n'est confinée ni aux systèmes informatiques, ni à l'information dans sa forme numérique ou électronique. Au contraire, elle s'applique à tous les aspects de la sûreté, la garantie, et la protection d'une donnée ou d'une information, quelle que soit sa forme.
Afficher plus
MOOCs associés (1)
A Resilient Future: Science and Technology for Disaster Risk Reduction
Learn how science and technology are helping reduce our risk of disasters.