IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 372
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 372
    Points : 154 898
    Points
    154 898
    Par défaut Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014
    Les systèmes d'exploitation OS X et iOS d'Apple ont enregistré le plus de failles de sécurité en 2014,
    d'après un rapport

    La National Vulnerability Database (NVD) a fourni ses statistiques sur les vulnérabilités de sécurité qui ont affectées les éditeurs logiciels aux Etats-Unis. Au total, 7 038 nouvelles failles de sécurité ont été ajoutées à la base de données de NVD en 2014, soit une moyenne de 19 vulnérabilités par jour. En 2013 4 794 nouvelles vulnérabilités avaient été annoncées et en 2012 NVD avait fait état de 4 347 nouvelles vulnérabilités et 3 532 en 2011. Force est donc de constater que le nombre de vulnérabilités découvertes a augmenté encore plus rapidement qu’avant.

    Parmi elles, 24% ont été catégorisées comme étant critiques et 68% comme étant importantes. Les applications tierces ont constitué la source la plus importante de vulnérabilités avec 83% des vulnérabilités qui ont été enregistrées. Les systèmes d’exploitation quant à eux ont été derrière 13% des vulnérabilités.

    Pendant des années durant Windows a été constamment victimes des critiques de chercheurs qui lui reprochaient de ne pas être suffisamment sécurisé et d’avoir de nombreuses failles qui n’étaient pas colmatées. Il semblerait que Microsoft ait pris le taureau par les cornes depuis un moment déjà concernant la sécurité de son système d’exploitation et publie des correctifs assez rapidement pour permettre aux utilisateurs d’être protégés contre des menaces potentielles ou effectives. Des manœuvres qui lui valent de ne plus être dans le top 3 des systèmes d’exploitation les plus vulnérables pour l’année 2014.

    A contrario, les ordinateurs de bureau ainsi que les téléphones et tablettes tournant sur les systèmes d’exploitation d’Apple iOS et OS X ont enregistré une augmentation conséquente des vulnérabilités selon le dernier rapport de GFI qui s’est basé sur les statistiques fournies par la NVD. Apple va donc occuper les première et seconde places avec 147 vulnérabilités dont 64 critiques et 67 importantes rapportées en 2014 sur Mac OS X et 127 dont 32 critiques et 72 importantes sur iOS. Linux va s’offrir la troisième place avec 119 vulnérabilités rapportées en 2014 dont 24 catégorisées comme étant critiques et 74 importantes. Cette arrivée de Linux dans le top 3 peut être attribuée à des failles de sécurité de haut niveau comme la faille Heartbleed dans OpenSSL ou Shellshock qui affecte Bash.


    Concernant les applications cette fois-ci les navigateurs web sont encore à l’honneur et occupent le trio de tête comme d’habitude depuis six ans déjà. C’est Microsoft qui ouvre le bal avec son navigateur web Internet Explorer qui enregistre 242 vulnérabilités pour l’année 2014 dont 220 critiques et 22 importantes. Google s’accapare de la seconde place avec un Chrome qui enregistre 124 vulnérabilités dont 86 critiques et 38 importantes. Mozilla verra son Firefox fermé la marche avec 117 vulnérabilités dont 57 critiques et 57 importantes.


    La prochaine mouture du système d’exploitation de Microsoft pourrait encore réduire le nombre de vulnérabilités et le nouveau moteur du navigateur embarqué Spartan qui se débarrasse du code de legs d‘ IE pourrait également ouvrir la voie à une meilleure sécurité. Apple a encore besoin de prendre connaissance des failles plus vite et diffuser des correctifs aux utilisateurs à un rythme plus accéléré pour éviter de faire face à des conséquences majeures.

    Source : GFI

    Et vous ?

    Qu'en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 875
    Points : 39 737
    Points
    39 737
    Par défaut
    Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé ; mais on ne peut pas juste additionner les chiffres des différentes versions, vu que ce sont souvent les mêmes failles qui touchent plusieurs versions... Bref, en l'état ça me semble difficile de tirer des conclusions.

  3. #3
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 288
    Points
    2 288
    Par défaut
    Aux abris, les fanboys Apple vont débarquer !

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    mai 2006
    Messages
    1 040
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2006
    Messages : 1 040
    Points : 1 013
    Points
    1 013
    Par défaut
    Bonjour,
    Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé ; mais on ne peut pas juste additionner les chiffres des différentes versions, vu que ce sont souvent les mêmes failles qui touchent plusieurs versions... Bref, en l'état ça me semble difficile de tirer des conclusions.
    ce n'est pas possible de cumuler car une bonne partie des failles concernent l'ensemble des systemes donc compter la meme faille six fois serait pas vraiment exploitable.

  5. #5
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 317
    Points : 8 284
    Points
    8 284
    Billets dans le blog
    43
    Par défaut
    Comment ça ? Windows n'est pas en tête des systèmes les plus vulnérables ? Un mythe s'effondre !
    Mais ouf, on me dit que les anti-Microsoft primaires pourront encore se défouler sur IE. Reste à savoir pendant combien de temps encore...

    Sinon, mes remarques en vrac :
    * Bizarre que Safari ne figure pas dans le classement applicatif. Ça m'étonnerait très fortement qu'il soit exempte de problème.
    * Surpris de voir Windows Vista s'en sortir aussi bien niveau sécurité. Les impressions peuvent être trompeuses.
    * Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.

    Tout le monde en prend pour son grade, et c'est très bien comme cela.
    Tutoriels et FAQ TypeScript

  6. #6
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 038
    Points
    1 038
    Billets dans le blog
    9
    Par défaut
    IOS n'a pas de failles, la preuve l'Apple store interdit tous les logiciels de sécurité (antivirus...) tellement se serait inutile .


    Les chiffres concernant Windows ne sont pas vraiment exploitables. Ils sont par version, il faudrait le total cumulé
    Effectivement, car dans Linux Kernel quel version ? 3.19 ?
    pareil dans IOS, quel versions 7 ou 8 ?

    Sa me parait pas très normal que Windows est que 30 vulnérabilité et Linux 119

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Inscrit en
    décembre 2013
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2013
    Messages : 5
    Points : 6
    Points
    6
    Par défaut
    * Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.
    Encore faut-il découvrir ces failles pour pouvoir les corriger.

    Cet article ne représente finalement pas grand choses. Encore des milliers de failles doivent être présentes. Il faudrait connaitre le nombre de failles inconnus de chaque système pour savoir lequel est le mieux conçu et le mieux sécurisé. Sauf qu'elles sont inconnu ou connu par peu de monde.

  8. #8
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2013
    Messages
    53
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 53
    Points : 168
    Points
    168
    Par défaut
    Stop là :
    Cette arrivée de Linux dans le top 3 peut être attribuée à des failles de sécurité de haut niveau comme la faille Heartbleed dans OpenSSL ou Shellshock qui affecte Bash.
    Bash n'est pas dans Linux (cependant, il est présent dans pas mal de distro linux)
    OpenSSL n'est pas dans linux, mais c'est une bibliothèque énormément utilisée avec Linux

    Parler de bug dans un OS Linux, il faut voir de quoi on parle :
    Si on parle d'un bug dans le noyau, ça affecte toutes les distros (hormis patchs de la distro faisant office de correctif) => à comptabiliser
    Si on parle d'un bug au niveau distros, c'est l'assemblage du noyau et d'un ensemble de logiciel qui n'ont pas grands chose à voir qu'il faut incriminer => à pas comptabiliser.

    Le noyau Linux est réputé le plus stable et c'est pas pour rien... Il y a du monde qui bosse dessus à le paufiner, le corriger, l'améliorer...
    Je dis pas que M. Torvals a pondu le super noyau de la mort, il a juste pondu un petit noyau (bon, pas si petit que ça), qui a su intéresser suffisamment de monde pour qu'il y ait une communauté qui continue de l'entretenir.

    Ensuite, je pense qu'avec le temps, on va voir de plus en plus de bugs apparaitre, et les corrections tarderont toujours plus à venir. Pq ? parce que ça coûte cher de corriger des bugs.
    Le seul endroit où ça ne coûte juste que du temps, c'est l'open source. Il y a beaucoup de bénévole d'un coté, beaucoup d'entreprises de l'autre.
    Les bénévoles se foute royalement qu'on leur diminue les moyens... puisqu'ils en ont déjà pas.
    En revanche, si une entreprise diminue le budget alloué à la découverte/résolution de bugs, là, c'est leurs affaires, et leurs moyens de faire des économies sur des dépenses qu'ils disent "superflues" (alors que ça fait partie du développement)

    Non je ne suis pas un fan linux... (bon si en fait)

  9. #9
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2013
    Messages : 3 715
    Points : 1 038
    Points
    1 038
    Billets dans le blog
    9
    Par défaut
    Ensuite, je pense qu'avec le temps, on va voir de plus en plus de bugs apparaitre, et les corrections tarderont toujours plus à venir. Pq ? parce que ça coûte cher de corriger des bugs.

    Pourquoi sa empirerait, les grandes firme (MS, Google, Apple...) n'ont jamais eux d'aussi gros chiffres, ils ne sont pour le moment pas en manque d'argent.
    De plus MS passent a l'unification, 1 OS pour tout (smartphone, Xbox, PC...) ce qui permet de concentrer les efforts de correction de bugs/failles dans 1 seul OS, a quelque variable près.

    Si j'ai bien compris ton commentaire tu insinue que les entreprises vont de moins en moins porter d'importance a la sécurité ?

  10. #10
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2007
    Messages
    2 158
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2007
    Messages : 2 158
    Points : 7 878
    Points
    7 878
    Par défaut
    Ce classement détaille les failles par version de Windows
    C'est normal est très bien

    Pourquoi ce n'est pas la même chose pour les autres OS ?
    Comment se fait il que ce même niveau de détail ne soit pas fait pour chaque version du noyau Linux et même avec un distingo cela les distrib, de même pour iOS et Max OSx ?

    Si on veut faire un classement, on compare avec des choses comparables.

  11. #11
    Rédacteur
    Avatar de pcaboche
    Homme Profil pro
    Inscrit en
    octobre 2005
    Messages
    2 785
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Singapour

    Informations forums :
    Inscription : octobre 2005
    Messages : 2 785
    Points : 9 688
    Points
    9 688
    Par défaut
    Citation Envoyé par yahiko Voir le message
    * Linux sur le podium. Mais que font donc les geek-libristes qui prônent que l'open source c'est la façon la plus rapide pour corriger les failles.
    Fleur en plastique, sort de ce corps...
    "On en a vu poser les armes avant de se tirer une balle dans le pied..."
    -- pydévelop

    Derniers articles:

    (SQL Server) Introduction à la gestion des droits
    (UML) Souplesse et modularité grâce aux Design Patterns
    (UML) Le Pattern Etat
    Autres articles...

  12. #12
    Membre averti Avatar de seedbarrett
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2014
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : décembre 2014
    Messages : 106
    Points : 407
    Points
    407
    Par défaut
    Je pense qu'il pourrait avoir un conflit si l'appareil est connecté a internet et qu'il se synchronise sur un serveur, qui sera du coup a une autre date/heure pouvant causer des bugs justement parce que le journal de log s'affolera ou je ne sais trop quoi...

  13. #13
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 317
    Points : 8 284
    Points
    8 284
    Billets dans le blog
    43
    Par défaut
    Citation Envoyé par pcaboche Voir le message
    Fleur en plastique, sort de ce corps...
    Je ne connais pas, mais ça devait être quelqu'un de bien !
    Tutoriels et FAQ TypeScript

  14. #14
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2004
    Messages : 19 875
    Points : 39 737
    Points
    39 737
    Par défaut
    Citation Envoyé par cbleas Voir le message
    ce n'est pas possible de cumuler car une bonne partie des failles concernent l'ensemble des systemes donc compter la meme faille six fois serait pas vraiment exploitable.
    Bah oui, c'est exactement ce que je disais
    Faut lire en entier les messages qu'on cite

  15. #15
    Rédacteur/Modérateur

    Avatar de yahiko
    Homme Profil pro
    Développeur
    Inscrit en
    juillet 2013
    Messages
    1 317
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 317
    Points : 8 284
    Points
    8 284
    Billets dans le blog
    43
    Par défaut
    HS

    Pour se taper des barres, j'ai retrouvé les posts de cette Fleur en plastique.

    edit : dommage, le lien est mort car c'était une requête temporaire. Mais les posts sont facilement retrouvables... Rires garantis ^^
    Tutoriels et FAQ TypeScript

  16. #16
    Membre émérite
    Profil pro
    undef
    Inscrit en
    février 2013
    Messages
    768
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : février 2013
    Messages : 768
    Points : 2 646
    Points
    2 646
    Par défaut
    Citation Envoyé par yahiko Voir le message
    ...
    * Surpris de voir Windows Vista s'en sortir aussi bien niveau sécurité. Les impressions peuvent être trompeuses.
    ...
    L'un des deux reproches fait à vista est justement son système d'UAC hyper encombrante qui s'active dès qu'une action constitue un risque pour la sécurité du système. Ajoutez à cela que vista n'est plus installé que sur moins de 5% des ordinateurs, et vous obtenez un système qui n'a aucune raison de focaliser l'attention des voleurs de données car il demande trop d'investissement par rapports aux bénéfices espérés.

    L'autre reproche fait à vista est son appétit démesuré pour les ressources systèmes, mais les configurations actuelles sont plus que suffisantes pour dorénavant passer sous silence ce défaut.

  17. #17
    Membre éprouvé Avatar de fenkys
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2007
    Messages
    376
    Détails du profil
    Informations personnelles :
    Âge : 54
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 376
    Points : 1 051
    Points
    1 051
    Par défaut
    Il n'y a aucun mystère dans ces chiffres :
    - Les smartphones et tablettes ayant connu une explosion ces dernières années sont donc la cible d'un maximum de pirate. Donc iOS et Android sont les plus touché.
    - Le marché des PC a stagné et Windows Seven, le plus installé sur poste client, est ancien et a été largement nettoyé de ses failles.

    Reste Mac OS X, ce n'est pas un smartphone pourtant. Mais il est dans la même partie du classement. Loin devant les postes de travail.

  18. #18
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    9 014
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 9 014
    Points : 22 932
    Points
    22 932
    Par défaut
    Bonjour,

    Citation Envoyé par Stéphane le calme Voir le message
    Il semblerait que Microsoft ait pris le taureau par les cornes depuis un moment déjà concernant la sécurité de son système d’exploitation et publie des correctifs assez rapidement pour permettre aux utilisateurs d’être protégés contre des menaces potentielles ou effectives. Des manœuvres qui lui valent de ne plus être dans le top 3 des systèmes d’exploitation les plus vulnérables pour l’année 2014.
    Je ne comprend pas, ne parles-t-on pas ici de failles découvertes ? En quoi publier des correctifs diminuerait le nombre de failles découvertes ?
    À moins qu'ils découvrent puis corrigent la faille sans la signaler, ni vu ni connu. Mais dans ce cas là quel serait l'intérêt de ces chiffres que vous nous présentez ?


    Ensuite, j'ai du mal à voir en quoi le nombre de failles enregistrées serait un indicateur de la fiabilité d'un OS.
    Si on cherche des failles pour les corriger, c'est, à priori, "normal" d'en trouver plus que celui qui cherche un peu moins non ?
    Le plus important n'est-il pas les failles non déclarées qui sont peut-être actuellement utilisée ? Dans ce cas là, n'est-ce pas l'OS qui déclare le plus de failles (et qui donc les corrige) qui est, à priori, le plus sécurisé ? En effet pour chaque faille déclarées puis corrigée, c'est une faille inconnue en moins.



    Sinon, concernant Windows, n'a-t-on pas eu, ici, des actualités de Microsoft se plaignant que Google divulguait des failles de Windows qui avait tardé à publier les corrections (90 jours) ? Il me semble aussi qu'il y a eu plusieurs patch de sécurité qui ont été reporté ?

    Donc "publie des correctifs assez rapidement", cela veut dire quoi ?
    1heure ? 1 jour ? 1 mois ? 1 ans ?
    "Assez rapidement" par rapport à ses concurrents ?

    J'ai rapidement consulté la source et il ne me semble pas qu'ils s'aventurent aussi loin dans l'interprétation des résultats.
    Je veux bien croire en votre interprétation, mais auriez-vous d'autres éléments qui pourraient la corroborer ?

Discussions similaires

  1. Les Systèmes d'Exploitation Windows
    Par dzsysteme dans le forum Windows Vista
    Réponses: 1
    Dernier message: 14/05/2013, 08h09
  2. controle des E/S par les systéme d'exploitation
    Par ilias20 dans le forum Windows
    Réponses: 1
    Dernier message: 24/03/2009, 11h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo