Tout d'abord, n'oublions pas de rappeler que le niveau d'impact d'un deface de la mairie de Trifouilly-sur-Seine est généralement compris entre nul, et faisant éventuellement objet d'une mention de l'attaquant sur Zataz voire de 5 lignes dans la gazette locale ; particulièrement quand il est hébergé sur un mutualisé OVH avec uniquement du contenu statique.
Le bon réflexe en terme de sécurité sur internet est plutôt de cacher les versions
Un premier signe que l'auteur du papier ne semble pas avoir énormèment entendu parler du fingerprinting sur les versions, ni de son utilisation dans le monde réel.
Vous trouverez sur Github, ici et là, notre algorithme pour déterminer le niveau de sécurité.
Ce bout de code paraît surtout bien naïf. Il doit sortir un bon nombre d'énormités vu la manière dont sont catégorisées les instances logicielles, et ne prend même pas en compte les sous-versions dans certains cas.
Même si des mesures techniques comme des pare-feu permettent de se protéger
Super efficace contre les CVE...!??!?
Le langage de programmation, faille majeure
À ce point-là, tu te dis que tu en as déjà beaucoup trop lu.
De nombreux sites présentent un “niveau de sécurité incertain”, ce qui signifie que nous n’avons pas pu déterminer de façon certaine si le site est sécurisé ou pas. Cela provient de la manière dont les logiciels sont développés et installés. Nous allons prendre l’exemple de PHP, le langage majoritairement utilisé.
Un coup d'œil sur le code source, la présence de PHP 5.6.4 catégorise donc unilatéralement le site comme vulnérable ? On dirait qu'on prend en compte des choses du niveau de menace du DoS local.
Communes de plus de 50 000 hab. dont le site n'est pas sécurisé
Établir une binarité sécurisé/pas sécurisé, surtout sur cette base, ne me paraît pas vraiment pertinent.