Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications (CST), s’est joint aux partenaires internationaux suivants pour diffuser une publication conjointe visant à faire mention des vulnérabilités et expositions courantes les plus fréquemment exploitées par des auteures et auteurs de menace en 2022 :
- la Cybersecurity and Infrastructure Security Agency (CISA);
- la National Security Agency (NSA);
- le Federal Bureau of Investigation (FBI);
- l’Australian Cyber Security Centre (ACSC);
- le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
- la Computer Emergency Response Team de la Nouvelle-Zélande (CERT NZ);
- le National Cyber Security Centre du Royaume-Uni (NCSC-UK).
Le présent bulletin fournit des détails sur les vulnérabilités et expositions courantes (CVE pour Common Vulnerabilities and Exposures) ou les failles de sécurité informatique rendues publiques qui ont été fréquemment exploitées par des auteures et auteurs malveillants en 2022, ainsi que la liste connexe des lacunes courantes (CWE pour Common Weakness Enumeration). Le système CWE catégorise les failles de sécurité logicielles et matérielles ou les défauts de mise en œuvre souvent observés qui sont susceptibles de mener à des vulnérabilités.
En 2022, pour cibler les systèmes non corrigés qui sont connectés à Internet, des auteures et auteurs de menace ont exploité de nombreuses vulnérabilités logicielles connues depuis longtemps plutôt que les vulnérabilités communiquées récemment. Le présent bulletin comprend les douze principales vulnérabilités exploitées cette année qui ont été observées par le Centre pour la cybersécurité et ses co-auteurs.
Les fournisseuses, les fournisseurs, les conceptrices, les concepteurs, les développeuses et les développeurs sont invités à s’assurer que leurs produits sont sécurisés dès la conception et par défaut. Il est fortement conseillé aux organisations d’utilisateurs finaux de mettre en œuvre les mesures d’atténuation énoncées dans le bulletin afin de réduire le risque de compromission par des auteures et auteurs de cybermenace.
Consultez les vulnérabilités les plus couramment exploitées en 2022 (en anglais seulement).