Discussion :

[Stéphane le calme]

Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014,
d'après un rapport

La National Vulnerability Database (NVD) a fourni ses statistiques sur les vulnérabilités de sécurité qui ont affectées les éditeurs logiciels aux Etats-Unis. Au total, 7 038 nouvelles failles de sécurité ont été ajoutées à la base de données de NVD en 2014, soit une moyenne de 19 vulnérabilités par jour. En 2013 4 794 nouvelles vulnérabilités avaient été annoncées et en 2012 NVD avait fait état de 4 347 nouvelles vulnérabilités et 3 532 en 2011. Force est donc de constater que le nombre de vulnérabilités découvertes a augmenté encore plus rapidement qu’avant.

Parmi elles, 24% ont été catégorisées comme étant critiques et 68% comme étant importantes. Les applications tierces ont constitué la source la plus importante de vulnérabilités avec 83% des vulnérabilités qui ont été enregistrées. Les systèmes d’exploitation quant à eux ont été derrière 13% des vulnérabilités.

Pendant des années durant Windows a été constamment victimes des critiques de chercheurs qui lui reprochaient de ne pas être suffisamment sécurisé et d’avoir de nombreuses failles qui n’étaient pas colmatées. Il semblerait que Microsoft ait pris le taureau par les cornes depuis un moment déjà concernant la sécurité de son système d’exploitation et publie des correctifs assez rapidement pour permettre aux utilisateurs d’être protégés contre des menaces potentielles ou effectives. Des manœuvres qui lui valent de ne plus être dans le top 3 des systèmes d’exploitation les plus vulnérables pour l’année 2014.

A contrario, les ordinateurs de bureau ainsi que les téléphones et tablettes tournant sur les systèmes d’exploitation d’Apple iOS et OS X ont enregistré une augmentation conséquente des vulnérabilités selon le dernier rapport de GFI qui s’est basé sur les statistiques fournies par la NVD. Apple va donc occuper les première et seconde places avec 147 vulnérabilités dont 64 critiques et 67 importantes rapportées en 2014 sur Mac OS X et 127 dont 32 critiques et 72 importantes sur iOS. Linux va s’offrir la troisième place avec 119 vulnérabilités rapportées en 2014 dont 24 catégorisées comme étant critiques et 74 importantes. Cette arrivée de Linux dans le top 3 peut être attribuée à des failles de sécurité de haut niveau comme la faille Heartbleed dans OpenSSL ou Shellshock qui affecte Bash.

Concernant les applications cette fois-ci les navigateurs web sont encore à l’honneur et occupent le trio de tête comme d’habitude depuis six ans déjà. C’est Microsoft qui ouvre le bal avec son navigateur web Internet Explorer qui enregistre 242 vulnérabilités pour l’année 2014 dont 220 critiques et 22 importantes. Google s’accapare de la seconde place avec un Chrome qui enregistre 124 vulnérabilités dont 86 critiques et 38 importantes. Mozilla verra son Firefox fermé la marche avec 117 vulnérabilités dont 57 critiques et 57 importantes.

La prochaine mouture du système d’exploitation de Microsoft pourrait encore réduire le nombre de vulnérabilités et le nouveau moteur du navigateur embarqué Spartan qui se débarrasse du code de legs d‘ IE pourrait également ouvrir la voie à une meilleure sécurité. Apple a encore besoin de prendre connaissance des failles plus vite et diffuser des correctifs aux utilisateurs à un rythme plus accéléré pour éviter de faire face à des conséquences majeures.

Source : GFI

Et vous ?

Qu'en pensez-vous ?

[tomlev]

Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé ; mais on ne peut pas juste additionner les chiffres des différentes versions, vu que ce sont souvent les mêmes failles qui touchent plusieurs versions... Bref, en l'état ça me semble difficile de tirer des conclusions.

[Traroth2]

Aux abris, les fanboys Apple vont débarquer !

[cbleas]

Bonjour,

Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé ; mais on ne peut pas juste additionner les chiffres des différentes versions, vu que ce sont souvent les mêmes failles qui touchent plusieurs versions... Bref, en l'état ça me semble difficile de tirer des conclusions.

ce n'est pas possible de cumuler car une bonne partie des failles concernent l'ensemble des systemes donc compter la meme faille six fois serait pas vraiment exploitable.

[yahiko]

Comment ça ? Windows n'est pas en tête des systèmes les plus vulnérables ? Un mythe s'effondre !
Mais ouf, on me dit que les anti-Microsoft primaires pourront encore se défouler sur IE. Reste à savoir pendant combien de temps encore...

Sinon, mes remarques en vrac :
* Bizarre que Safari ne figure pas dans le classement applicatif. Ça m'étonnerait très fortement qu'il soit exempte de problème.
* Surpris de voir Windows Vista s'en sortir aussi bien niveau sécurité. Les impressions peuvent être trompeuses.
* Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.

Tout le monde en prend pour son grade, et c'est très bien comme cela.

[RyzenOC]

IOS n'a pas de failles, la preuve l'Apple store interdit tous les logiciels de sécurité (antivirus...) tellement se serait inutile .

Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé

Effectivement, car dans Linux Kernel quel version ? 3.19 ?
pareil dans IOS, quel versions 7 ou 8 ?

Sa me parait pas très normal que Windows est que 30 vulnérabilité et Linux 119

[tofu00]

* Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.

Encore faut-il découvrir ces failles pour pouvoir les corriger.

Cet article ne représente finalement pas grand choses. Encore des milliers de failles doivent être présentes. Il faudrait connaitre le nombre de failles inconnus de chaque système pour savoir lequel est le mieux conçu et le mieux sécurisé. Sauf qu'elles sont inconnu ou connu par peu de monde.

[DarkHylian]

Stop là :

Cette arrivée de Linux dans le top 3 peut être attribuée à des failles de sécurité de haut niveau comme la faille Heartbleed dans OpenSSL ou Shellshock qui affecte Bash.

Bash n'est pas dans Linux (cependant, il est présent dans pas mal de distro linux)
OpenSSL n'est pas dans linux, mais c'est une bibliothèque énormément utilisée avec Linux

Parler de bug dans un OS Linux, il faut voir de quoi on parle :
Si on parle d'un bug dans le noyau, ça affecte toutes les distros (hormis patchs de la distro faisant office de correctif) => à comptabiliser
Si on parle d'un bug au niveau distros, c'est l'assemblage du noyau et d'un ensemble de logiciel qui n'ont pas grands chose à voir qu'il faut incriminer => à pas comptabiliser.

Le noyau Linux est réputé le plus stable et c'est pas pour rien... Il y a du monde qui bosse dessus à le paufiner, le corriger, l'améliorer...
Je dis pas que M. Torvals a pondu le super noyau de la mort, il a juste pondu un petit noyau (bon, pas si petit que ça), qui a su intéresser suffisamment de monde pour qu'il y ait une communauté qui continue de l'entretenir.

Ensuite, je pense qu'avec le temps, on va voir de plus en plus de bugs apparaitre, et les corrections tarderont toujours plus à venir. Pq ? parce que ça coûte cher de corriger des bugs.
Le seul endroit où ça ne coûte juste que du temps, c'est l'open source. Il y a beaucoup de bénévole d'un coté, beaucoup d'entreprises de l'autre.
Les bénévoles se foute royalement qu'on leur diminue les moyens... puisqu'ils en ont déjà pas.
En revanche, si une entreprise diminue le budget alloué à la découverte/résolution de bugs, là, c'est leurs affaires, et leurs moyens de faire des économies sur des dépenses qu'ils disent "superflues" (alors que ça fait partie du développement)

Non je ne suis pas un fan linux... (bon si en fait)

[RyzenOC]

Ensuite, je pense qu'avec le temps, on va voir de plus en plus de bugs apparaitre, et les corrections tarderont toujours plus à venir. Pq ? parce que ça coûte cher de corriger des bugs.

Pourquoi sa empirerait, les grandes firme (MS, Google, Apple...) n'ont jamais eux d'aussi gros chiffres, ils ne sont pour le moment pas en manque d'argent.
De plus MS passent a l'unification, 1 OS pour tout (smartphone, Xbox, PC...) ce qui permet de concentrer les efforts de correction de bugs/failles dans 1 seul OS, a quelque variable près.

Si j'ai bien compris ton commentaire tu insinue que les entreprises vont de moins en moins porter d'importance a la sécurité ?

[Saverok]

Ce classement détaille les failles par version de Windows
C'est normal est très bien

Pourquoi ce n'est pas la même chose pour les autres OS ?
Comment se fait il que ce même niveau de détail ne soit pas fait pour chaque version du noyau Linux et même avec un distingo cela les distrib, de même pour iOS et Max OSx ?

Si on veut faire un classement, on compare avec des choses comparables.

[pcaboche]

* Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.

Fleur en plastique, sort de ce corps...

[seedbarrett]

Je pense qu'il pourrait avoir un conflit si l'appareil est connecté a internet et qu'il se synchronise sur un serveur, qui sera du coup a une autre date/heure pouvant causer des bugs justement parce que le journal de log s'affolera ou je ne sais trop quoi...

[yahiko]

Fleur en plastique, sort de ce corps...

Je ne connais pas, mais ça devait être quelqu'un de bien !

[tomlev]

ce n'est pas possible de cumuler car une bonne partie des failles concernent l'ensemble des systemes donc compter la meme faille six fois serait pas vraiment exploitable.

Bah oui, c'est exactement ce que je disais
Faut lire en entier les messages qu'on cite

[yahiko]

HS

Pour se taper des barres, j'ai retrouvé les posts de cette Fleur en plastique.

edit : dommage, le lien est mort car c'était une requête temporaire. Mais les posts sont facilement retrouvables... Rires garantis ^^

[23JFK]

...
* Surpris de voir Windows Vista s'en sortir aussi bien niveau sécurité. Les impressions peuvent être trompeuses.
...

L'un des deux reproches fait à vista est justement son système d'UAC hyper encombrante qui s'active dès qu'une action constitue un risque pour la sécurité du système. Ajoutez à cela que vista n'est plus installé que sur moins de 5% des ordinateurs, et vous obtenez un système qui n'a aucune raison de focaliser l'attention des voleurs de données car il demande trop d'investissement par rapports aux bénéfices espérés.

L'autre reproche fait à vista est son appétit démesuré pour les ressources systèmes, mais les configurations actuelles sont plus que suffisantes pour dorénavant passer sous silence ce défaut.

[fenkys]

Il n'y a aucun mystère dans ces chiffres :
- Les smartphones et tablettes ayant connu une explosion ces dernières années sont donc la cible d'un maximum de pirate. Donc iOS et Android sont les plus touché.
- Le marché des PC a stagné et Windows Seven, le plus installé sur poste client, est ancien et a été largement nettoyé de ses failles.

Reste Mac OS X, ce n'est pas un smartphone pourtant. Mais il est dans la même partie du classement. Loin devant les postes de travail.

[Neckara]

Bonjour,

Il semblerait que Microsoft ait pris le taureau par les cornes depuis un moment déjà concernant la sécurité de son système d’exploitation et publie des correctifs assez rapidement pour permettre aux utilisateurs d’être protégés contre des menaces potentielles ou effectives. Des manœuvres qui lui valent de ne plus être dans le top 3 des systèmes d’exploitation les plus vulnérables pour l’année 2014.

Je ne comprend pas, ne parles-t-on pas ici de failles découvertes ? En quoi publier des correctifs diminuerait le nombre de failles découvertes ?
À moins qu'ils découvrent puis corrigent la faille sans la signaler, ni vu ni connu. Mais dans ce cas là quel serait l'intérêt de ces chiffres que vous nous présentez ?


Ensuite, j'ai du mal à voir en quoi le nombre de failles enregistrées serait un indicateur de la fiabilité d'un OS.
Si on cherche des failles pour les corriger, c'est, à priori, "normal" d'en trouver plus que celui qui cherche un peu moins non ?
Le plus important n'est-il pas les failles non déclarées qui sont peut-être actuellement utilisée ? Dans ce cas là, n'est-ce pas l'OS qui déclare le plus de failles (et qui donc les corrige) qui est, à priori, le plus sécurisé ? En effet pour chaque faille déclarées puis corrigée, c'est une faille inconnue en moins.



Sinon, concernant Windows, n'a-t-on pas eu, ici, des actualités de Microsoft se plaignant que Google divulguait des failles de Windows qui avait tardé à publier les corrections (90 jours) ? Il me semble aussi qu'il y a eu plusieurs patch de sécurité qui ont été reporté ?

Donc "publie des correctifs assez rapidement", cela veut dire quoi ?
1heure ? 1 jour ? 1 mois ? 1 ans ?
"Assez rapidement" par rapport à ses concurrents ?

J'ai rapidement consulté la source et il ne me semble pas qu'ils s'aventurent aussi loin dans l'interprétation des résultats.
Je veux bien croire en votre interprétation, mais auriez-vous d'autres éléments qui pourraient la corroborer ?