Discussion :

[Idelways]

Sun et Google, bons élèves de la sécurité informatique
Contrairement aux affirmations du rapport d'IBM qui reconnaît son erreur

Mise à jour du 01/09/10


Google est-il un mauvais élève lorsqu'il s'agit d'apporter des correctifs à ses produits ?

Non. Mais, c'est ce que laissait entendre le rapport X-Force, étude bi-annuelle d'IBM sur la sécurité, classement et décompte à l'appui (lire ci-avant).

Après la publication de ce rapport – qui n'est pas sans poser des questions sur les visées marketing de Big Blue face à ses concurrents – Google s'est étonné de se voir figurer dans la liste des entreprises critiquées.

« Après des discussions avec IBM, nous avons découvert de nombreuses erreurs qui ont des répercussions importantes sur les conclusions du rapport », écrit ainsi Adam Mein de la Google Security Team. « Nous avons été étonnés par l'affirmation qui indiquait que 33% des bugs à haut-risques étaient restés non corrigés par nos services durant le premier semestre 2010 ».

Après une courte recherche, Google s'est rendu compte qu'une seule vulnérabilité était à l'origine de ce chiffre. Or cette vulnérabilité n'en est pas une : « elle a été considérée à tort comme une vulnérabilité à cause d'une confusion terminologique » explique Mein.

Une fois exclue cette vraie-fausse faille, le taux réel de failles critiques non corrigées de Google serait en fait de... 0%.Un écart non négligeable.

IBM reconnaît cette erreur et vient de publie un rectificatif et un nouveau classement.

Mais les erreurs du rapport ne concernent pas que Google.

Un autre fournisseur de solutions IT auraient fait part de ses réserves à IBM. IBM qui curieusement ne dévoile pas le nom de cet autre mécontent.

Pourtant, une rapide analyse des nouveaux résultats de X-Force montre que Sun passe d'un taux de non correction de plus de 20 % (et 9% pour les failles critiques) à seulement 8%... et même 0% pour les vulnérabilités critiques.

La nouvelle « arme » d'Oracle, concurrent acharnée d'IBM, passe donc du statut de plus mauvais élève de l'étude à la cinquième place, juste derrière IBM.





Dans un contexte de concurrence accrue sur le marché des serveurs haut-de-gamme (lire ci-avant), une telle erreur est particulièrement mal venue.

Et pose aussi la question de savoir pourquoi IBM se refuse à citer Sun Microsystems.


Source : Réaction de Google, Mea Culpa d'IBM

MAJ de Gordon Fowler



IBM : Sun et Microsoft ont les plus forts pourcentages de failles sans correctifs
Big Blue publie son rapport bimestriel de sécurité



IBM vient de publier son rapport bimestriel de sécurité « X-Force Trend and Risk » qui fait le bilan de la première moitié de l'année en termes de menaces et les efforts consentis par les éditeurs pour s'y opposer.

Le bilan selon IBM est alarmant. Le constructeur parle de niveau record : plus de failles signalées que jamais, et plus de 50% de ces failles resteraient non colamtées.

En tout et pour tout, 55% des vulnérabilités logicielles dévoilées sur les 10 derniers mois resteraient non corrigées (contre 52% l'année passée).

Curieusement, c'est Sun – aujourd'hui sous l'égide d'Oracle, dont le PDG Larry Ellison a fait d'IBM son concurrent numéro 1 – qui chapeaute ce classement.
Sun-Oracle est suivi de près par Microsoft et Mozilla.

A l'opposé, Adobe fait plutôt bonne figure puisque ses produits n'auraient que 2.9% de failles non corrigées.

Ironie de l'histoire, IBM est également présent dans ce classement en 5ème position.

Réelle objectivité ou manière détournée de dire que Big Blue n'est pas parfait mais bien meilleur que la concurrence ? Chacun se fera une opinion.

Rappelons que le Top 3 mondial des sociétés informatiques est composé de Microsoft, d'IBM et d'Oracle.


L'étude liste les 10 éditeurs ayant enregistré le plus de vulnérabilités durant la première moitié de l'année 2010 et les classes selon le pourcentage des failles laissées sans correctifs :

• Sun : 24%;
• Microsoft : 23.2%;
• Mozilla : 21.3%;
• Apple : 12.9%;
• IBM : 10.3%;
• Google : 8.6%;
• Linux : 8.2%;
• Oracle : 6.8%;
• Cisco : 6%;
• Adobe : 2.9%.

Si l'on regarde ces chiffres de plus prêts, on constate donc qu'IBM auraient deux fois moins de failles non corrigées que Microsoft et Sun.

Mais au delà de ce doute sur l'objectivité du rapport – doute que certains qualifieront de plus ou moins cynique - l'étude a un mérite. Elle montre que les défis auxquels font faces les éditeurs se compliquent et rendent les corrections plus difficiles.

Le nombre de vulnérabilités a en effet augmenté de 36% par rapport à celles enregistrés durant la première moitié de 2009, pour passer de 12 211 à 16 607.

Encore moins réjouissant, le nombre des exploits effectifs a augmenté de 60%.

Les applications web restent en tête des menaces de sécurité. Les malware cachés dans du code JavaScript et les PDF deviennent plus sophistiqués et plus difficiles à détecter.

En revanche, le phishing semble relativement faible, mais il risque de connaitre un pic énorme en août, septembre, octobre si les tendances de 2008 et 2009 se confirment.

Vous être prévenus, nous entrons dans la saison de l'hameçonnage


Source : Site d'IBM

Lire aussi :

Plus de 100 logiciels seraient vulnérables aux attaques en DLL preloading, dont Live Mail, iTunes, Firefox, etc...

Android : la protection des licences déjà « facilement » détournée, Google minimise et défend son système de signature

Les produits Apple en tête du nombre de vulnérabilités, suivent Oracle et Microsoft, mais les failles d'Apple seraient moins critiques selon Secunia

Les rubriques (actu, forums, tutos) de Développez :

Sécurité

Et vous ?

Comment expliquez-vous cette augmentation du nombre de vulnérabilités ?
Adobe bon élève, cela vous étonne-t-il ?

Pensez-vous qu'IBM utilisera ces résultats comme argument commercial dans la concurrence qui l'oppose à Sun et Microsoft ? Ou l'étude vous parait-elle objective ?


En collaboration avec Gordon Fowler

[Traroth2]

Tout dépend de combien de bugs on parle. Si j'ai 1 bug et que je ne le corrige pas, 100% de mes bugs ne sont pas corrigés. Si j'ai 1000 bugs et que j'en corrige 900, seuls 10% de mes bugs ne sont pas corrigés...

[lex2004]

Merci Traroth2, la précision valait la peine. Encore que plus on développe d'applications critiques, plus on est susceptible de commettre des erreurs et donc d'avoir des bugs à corriger.

[Gordon Fowler]

Salut,

Tout à fait d'accord avec vous deux. Néanmoins, l'étude stipule bien qu'elle prend en compte "les 10 éditeurs ayant enregistré le plus de vulnérabilités" pour ne pas comparer des carottes et des torchons

Je voulais juste préciser ce point,

Cordialement à vous deux,


Gordon

[galien]

Selon ce papier les plus gros gratteurs de codes seraient ceux qui font le plus de bugs?

[psychadelic]

Selon ce papier les plus gros gratteurs de codes seraient ceux qui font le plus de bugs?

Bugs?
Une faille de sécurité n'est pas un Bug

Je sais pas si un jour on en finira avec cet amalgame...

Cette étude met surtout en relief le fait que plus un soft est présent sur le marché et plus les Hackeurs s'y intéressent.

Cela n'a rien à voir avec la qualité du code.

La nature à inventé la biodiversité, car elle sait tres bien que plus on réduit le nombre d'espèces et plus les menaces qui pesent sur celles-ci feront des ravages.

La seule chose qui se "biodiversifie" actuellement, ce sont surtout les malwares.

[_skip]

Mais est-ce que ce comparatif tient réellement compte de la criticité des failles? Je veux dire, une faille qui permet de prendre le contrôle d'une machine à distance sur internet en contournant toute la sécurité n'a pas exactement la même gravité qu'une autre qui requiert un accès physique à la machine et une session ouverte pour être exploitée.

Il vaut peut être mieux 200 failles mineures que 5 majeures...

[JeitEmgie]

Mais est-ce que ce comparatif tient réellement compte de la criticité des failles? Je veux dire, une faille qui permet de prendre le contrôle d'une machine à distance sur internet en contournant toute la sécurité n'a pas exactement la même gravité qu'une autre qui requiert un accès physique à la machine et une session ouverte pour être exploitée.

Il vaut peut être mieux 200 failles mineures que 5 majeures...

il y a des pages intéressantes plus loin dans le rapport…

notamment ce tableau :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Vendor                  Percent of 2010 H1                Percent of Critical & High 2010 H1     
                          Disclosures with No Patch         Disclosures with No Patch
All Vendors -                  55%                                 71%
2010 H1 Average
Sun                            24%                                  9%
Microsoft                      23%                                 11%
Mozilla                        21%                                  4%
Apple                          13%                                  0%
IBM                            10%                                 29%
Google                          9%                                 33%
Linux                           8%                                 20%
Oracle                          7%                                 22%
HP                              7%                                  5%
Cisco                           6%                                  2%
Novell                          5%                                 10%
Adobe                           3%                                  2%

[Gordon Fowler]

Sun et Google, bons élèves de la sécurité informatique
Contrairement aux affirmations du rapport d'IBM qui reconnaît son erreur

Mise à jour du 01/09/10


Google est-il un mauvais élève lorsqu'il s'agit d'apporter des correctifs à ses produits ?

Non. Mais, c'est ce que laissait entendre le rapport X-Force, étude bi-annuelle d'IBM sur la sécurité, classement et décompte à l'appui (lire ci-avant).

Après la publication de ce rapport – qui n'est pas sans poser des questions sur les visées marketing de Big Blue face à ses concurrents – Google s'est étonné de se voir figurer dans la liste des entreprises critiquées.

« Après des discussions avec IBM, nous avons découvert de nombreuses erreurs qui ont des répercussions importantes sur les conclusions du rapport », écrit ainsi Adam Mein de la Google Security Team. « Nous avons été étonnés par l'affirmation qui indiquait que 33% des bugs à haut-risques étaient restés non corrigés par nos services durant le premier semestre 2010 ».

Après une courte recherche, Google s'est rendu compte qu'une seule vulnérabilité était à l'origine de ce chiffre. Or cette vulnérabilité n'en est pas une : « elle a été considérée à tort comme une vulnérabilité à cause d'une confusion terminologique » explique Mein.

Une fois exclue cette vraie-fausse faille, le taux réel de failles critiques non corrigées de Google serait en fait de... 0%.Un écart non négligeable.

IBM reconnaît cette erreur et vient de publie un rectificatif et un nouveau classement.

Mais les erreurs du rapport ne concernent pas que Google.

Un autre fournisseur de solutions IT auraient fait part de ses réserves à IBM. IBM qui curieusement ne dévoile pas le nom de cet autre mécontent.

Pourtant, une rapide analyse des nouveaux résultats de X-Force montre que Sun passe d'un taux de non correction de plus de 20 % (et 9% pour les failles critiques) à seulement 8%... et même 0% pour les vulnérabilités critiques.

La nouvelle « arme » d'Oracle, concurrent acharnée d'IBM, passe donc du statut de plus mauvais élève de l'étude à la cinquième place, juste derrière IBM.





Dans un contexte de concurrence accrue sur le marché des serveurs haut-de-gamme (lire ci-avant), une telle erreur est particulièrement mal venue.

Et pose aussi la question de savoir pourquoi IBM se refuse à citer Sun Microsystems.


Source : Réaction de Google, Mea Culpa d'IBM