Discussion :

[Stéphane le calme]

Durant la dernière décennie, Windows 10 a eu moins de vulnérabilités que Linux, macOS X et Android
selon une étude

Alors que nous entamons la nouvelle décennie, il est important de garder à l'esprit que votre activité en ligne est surveillée. Certains, comme les agences fédérales, pourraient prétendre le faire pour protéger les citoyens, d’autres, comme les grandes sociétés technologiques (Google, Apple, Facebook, etc.) vont bénéficier financièrement de l’utilisation des données des consommateurs.

Ce que vous faites en ligne est également susceptible d’intéresser les hackers qui visent à pirater vos applications, vos comptes de médias sociaux et, dans certains cas, cherchent à collecter des informations financières. Nous sommes tous vulnérables lorsque nous nous connectons à Internet, mais certains produits technologiques sont plus sujets aux invasions.

Une analyse de la National Vulnerability Database (base de données nationale) de la National Institute of Standards and Technology (l'Institut national des normes et de la technologie) a montré que, si le nombre de vulnérabilités est une indication d'exploitabilité, Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux.

Top 20 des produits avec le plus grand nombre de vulnérabilités techniques sur le temps

Au cours des 20 dernières années, Debian Linux, logiciel libre et convivial, a enregistré 3067 vulnérabilités techniques, ce qui en fait le produit le plus vulnérable. Le produit n'est cependant pas sans défense. Selon son site Web, la communauté qui utilise Debian Linux est « très réactive » et les vulnérabilités sont généralement corrigées en quelques jours. Bien que les résultats de l'analyse montrent que Debian Linux peut être le système d'exploitation le plus problématique, Android a signalé 54 vulnérabilités de plus que Debian Linux en 2019. Cela pourrait être dû au fait que les téléphones Android sont construits avec des applications tierces préinstallées, exposant finalement les utilisateurs à des bogues non contrôlés.

Les trois produits qui ont suivi Android et Debian Linux provenaient tous de Microsoft: Windows Server 2016, Windows 10 et Windows Server 2019.

Windows 10 n'a enregistré que 1111 vulnérabilités techniques, et même si nous ajoutons Windows 10 (sorti en 2015) à Windows 7 (sorti en 2009), le total est encore bien inférieur à Android et Debian Linux. Bien sûr, Microsoft a beaucoup plus de produits que Windows, ce qui signifie que l’éditeur a également une charge de vulnérabilités beaucoup plus importante. C’est d’ailleurs ce que montre le tableau ci-dessous :

Microsoft arrive en tête avec 6814 vulnérabilités signalées collectées au cours de la décennie, mais n'a que 12,9 vulnérabilités par produit, contre 54,4 pour Google et 37,9 pour Apple.

Bien sûr, les chiffres bruts ne racontent pas toute l'histoire, car certaines vulnérabilités sont plus graves que d'autres.

Produits avec l’indice de sévérité de vulnérabilité CVSS le plus élevé de 1999 à 2019

Cela a montré que, sans surprise, Adobe Acrobat et Flashplayer étaient les logiciels les plus dangereux à avoir sur votre PC, bien que Microsoft Office et Internet Explorer n'étaient pas trop loin derrière. L'absence de plateformes plus récentes comme Chrome ou Windows 10 suggère que les entreprises sont devenues mieux à même d'atténuer les vulnérabilités et ont développé une meilleure défense en profondeur.

Les vulnérabilités en 2019

« Il existe différents types de vulnérabilités : certains accordent aux attaquants la possibilité d'accéder à des informations privées, tandis que d'autres activent des commandes indésirables ou bloquent des applications. La faille d'iOS était choquante en raison de la durée de sa non-détection, mais également en raison de sa portée. Les hackers ont exploité "14 failles de sécurité" à l'aide d'une chaîne de code pour collecter des informations sensibles sur les utilisateurs d'iPhone, y compris les mots de passe, mais aussi d'écouter les communications chiffrées.

« L'exécution de code, qui permet à un attaquant d'exécuter des commandes arbitraires, était responsable de plus de 1 vulnérabilité technique sur 4 en 2019, suivie du scriptage intersite (17,7 %). L'exécution de code était également le type de vulnérabilité le plus courant en 2018 et représentait 3041 failles de sécurité.

« Les attaques par déni de service (DoS) n'étaient responsables que d'environ 10% des vulnérabilités des produits en 2019, mais elles étaient plus nombreuses que toutes les autres vulnérabilités en 2017. Cependant, GitHub a connu la plus grande attaque DoS jamais vue en 2018 lorsque son site Web s'est déconnecté pendant environ cinq minutes. C'est peut-être la raison pour laquelle il n'y a eu que 919 attaques DoS en 2019 - les entreprises ont pris note et ont équipé leurs produits des défenses nécessaires.

« Le fractionnement des réponses HTTP est historiquement le type de vulnérabilité technique le moins courant signalé. Cela est probablement dû au fait que les applications parviennent à identifier les valeurs d'entrée étrangères ».

Seulement 894 vulnérabilités techniques ont été signalées en 1999. 20 ans plus tard, ce chiffre a augmenté de près de 14 fois pour atteindre 12.174. Cependant, 2018 a montré le plus grand nombre de vulnérabilités : 16 556. Debian GNU / Linux a contribué de 1197 vulnérabilités, ce qui en fait le produit le plus vulnérable en 2018.

Le rapport note également que si des milliers de vulnérabilités techniques peuvent être alarmantes, des vulnérabilités sont détectées, en moyenne, dans les 197 jours et sont contenues en moyenne dans les 69 jours : « Bien que de tels nombres puissent être alarmants, des vulnérabilités techniques sont détectées, en moyenne, en 197 jours et contenues dans 69, mais une récente violation d'iOS de deux ans affectant des milliers d'iPhone a terrifié les experts. Pourtant, Android avait le plus de vulnérabilités signalées en 2016, 2017 et 2019, tandis qu'iOS ne faisait pas du tout partie de la liste ».

Le principal point à retenir de l'analyse semble être qu’il faut se rassurer d’utiliser la dernière version de la plateforme offerte par votre fournisseur, car elle apporte sans doute des correctifs.

Pour terminer, voici les produits les plus vulnérables par année :

Année	Produit avec le plus de vulnérabilités	Nombre total de vulnérabilités
1999	Windows NT	64
2000	Linux	47
2001	Linux	47
2002	Internet Explorer	54
2003	Oracle Solaris	42
2004	Internet Explorer	59
2005	Linux Kernel	133
2006	Mac OS X	106
2007	PHP	114
2008	Mac OS X	95
2009	Mozilla Firefox	126
2010	Google Chrome	150
2011	Google Chrome	266
2012	Google Chrome	249
2013	Linux Kernel	189
2014	Internet Explorer	243
2015	Mac OS X	444
2016	Android	525
2017	Android	843
2018	Debian GNU/Linux	1197
2019	Android	414

Méthodologie

« En utilisant les données de la base de données nationale sur la vulnérabilité du National Institute of Standards and Technology, à laquelle nous avons accédé via la base de données de sécurité CVE Details, nous avons exploré les vulnérabilités techniques d'un certain nombre de fournisseurs de technologies et de produits de consommation.

« Les données étaient disponibles pour chaque année de 1999 à 2019. Les données pour 2019 ont été extraites le 2 janvier 2020 et comprenaient des données pour chaque mois de cette année civile. Étant donné que la base de données est constamment mise à jour, il est possible que les chiffres présentés aient changé.

« La base de données a examiné 13 types de vulnérabilités techniques. Nous avons inclus tous les types dans notre analyse des données. Il convient de noter que d'autres sources peuvent décrire ou nommer les types de vulnérabilités légèrement différemment. Nous avons choisi de garder les noms de types cohérents avec ceux de la base de données accessibles via CVE Details.

« Le calcul des vulnérabilités par produit a été effectué en divisant le nombre total de vulnérabilités d'un fournisseur par le nombre de produits signalés fabriqués par le fournisseur. Le calcul a été effectué dans la base de données. Cependant, nous avons recréé le calcul et arrondi les nombres vers le haut, tandis que la base de données arrondissait les valeurs calculées vers le bas. Par conséquent, les chiffres présentés ici peuvent différer légèrement de la base de données.

« Lorsque l'on regarde des produits spécifiques, les listes des meilleurs produits pour les vulnérabilités ont été calculées par la base de données. Nous avons choisi d'afficher les 20 premiers dans nos représentations finales des données, à l'exception des scores CVSS où nous avons inclus les 25 premiers.

« Avec les listes de produits, il est important de noter que certains produits sont définis plusieurs fois avec des noms différents dans la base de données. Par conséquent, nos listes peuvent contenir le même produit sous des noms différents.

« Enfin, nous avons examiné le risque posé par les vulnérabilités des produits. Cela a été fait en utilisant le système Common Vulnerability Scoring System (CVSS). Les vulnérabilités reçoivent un score de 0 à 10 basé sur plusieurs métriques.

« La base de données a fourni des moyennes pondérées CVSS pour les 50 principaux produits par le nombre total de vulnérabilités distinctes. Notre représentation finale montre les 25 meilleurs produits avec les moyennes pondérées CVSS les plus élevées ».

Source : rapport

Et vous ?

Quelle lecture faites-vous de ces statistiques ?

[esperanto]

Durant la dernière décennie, Windows 10 a eu moins de vulnérabilités que Linux, macOS X et Android

C'est bien de compter sur une décennie pour un système qui a été publié en 2015...
Et puis pour Linux, vu que c'est Open Source, il y a peut-être plus de facilité à les trouver et surtout une plus grande volonté de les communiquer (combien de vulnérabilités Windows exploitées pendant des années par la NSA avant de les dévoiler? ah non pardon ça ce ne sont pas des vulnérabilités mais des fonctionnalités...)

[Fleur en plastique]

Encore une fois on compare les torchons et les serviettes.

Debian Linux est un système d'exploitation complet avec de très nombreuses applications.
Windows 10 est seulement un système d'exploitation.

Du coup si on compte les vulnérabilités d'un système complet avec toutes ses applications, que cela fasse plus que celles d'un système d'exploitation seul, ça ne me choque pas, au contraire.

De plus, Windows 10 oblige tous les 6 mois à télécharger plusieurs Go d'une mise à jour géante, ce qui n'est pas le cas avec un système comme Debian Linux.

Ensuite, ici on décompte que les vulnérabilités, pas les vulnérabilités corrigées. Windows a comporté longtemps des vulnérabilités pour lesquelles il a fallu attendre longtemps un correctif (heureusement, cette situation s'est très nettement améliorée). D'un autre côté, Android sera automatiquement plus vulnérable que les deux autres, à cause de sa fragmentation et son support au bon vouloir des milliers de constructeurs de périphériques.

Du coup je ne trouve pas cette étude très pertinente. Utile pour vendre du Windows, mais qui ne reflète pas vraiment la réalité du "suis-je en danger avec mon OS ?".

[gabriel21]

"Le langage des chiffres a ceci de commun avec le langage des fleurs : on peut lui faire dire ce que l'on veut. Permettez moi de préférer le langage des hommes." Le Président, réplique de Gabin à l'assemblé.

Ce type d'étude est entièrement faussé, puisqu'elle part du principe que chaque faille connu est signalée. Si cela est globalement vrai dans le monde du logiciel libre, nous ne pouvons pas avoir de certitude pour le monde des logiciels privés.

Avec ce type d'étude, on peut lancer une belle bagarre du type les logiciels libres sont tous pourris, achetez donc des logiciels propriétaires.
Bref un beau troll du vendredi. Ah mince, nous sommes lundi, la semaine va être longue...

[ztor1]

Bonjour,

Peut-être rajouter la notion de nombre de PC impacté et le niveau de connaissance/compétance des utilisateurs

Soit un OS avec 100 failles et présent sur 10.000 de PC pour des utilisateurs avertis et capable de prendre des contre-mesures rapides et efficaces
Soit un OS avec 50 failles et présent sur 10.000.000 de PC pour des utilisateurs lambda et incapable de prendre des contre-mesures rapides et efficaces

Pour une faille de même niveau de sécurité, les impacts seront, je pense, bien différents.

Et l'on peux ainsi rajouter de multiples critères d'analyse.

@+

[vmagnin]

"Debian est bien plus qu'un simple système d'exploitation : il est fourni avec plus de 59000 paquets" (https://www.debian.org/)

Pour comparer avec Windows, il faudrait donc en gros prendre Windows + tout l'ecosystème logiciel tournant sous Windows... D'ailleurs, ça inclurait pas mal de logiciels libres disponibles à la fois pour Debian et Windows.

[Kearz]

En attendant, l'important c'est juste de retenir : il y a des failles partout.
Que ça soit Windows / Linux / Android / ... *: il est impossible de se prémunir de toutes les failles.

Du coup, utilisez l'OS qui vous fait plaisir et mettez-le à jour.

[micka132]

"Debian est bien plus qu'un simple système d'exploitation : il est fourni avec plus de 59000 paquets" (https://www.debian.org/)

Est-ce que tu considères que l'ensemble des applications du play store font partie d'Android?
Les packages ne sont que des programmes non essentiel à l'OS, c'est pareil sous Windows sauf qu'il y en a beaucoup intégrés dans l'installation de "base". Mais si tu y regardes de plus prés tu as la version de "base" (donc non server) "family" ,"pro" et "entreprise". Tu as même la version IOT qui va se rapprocher d'un linux, avec un minimum de fonctionnalité (ou de package).

[J_CHAIX]

Quand je lis Debian depuis 1999, j'en conclue que la NVD prend toutes les versions.
Et si on fais la même chose avec Microsoft, ça crève le plafond, parce que depuis Win2000, des failles y'en a eu.
En plus je lis que Firefox est dans le top 10, ..., et internet explorer...
Mouais, un poisson d'avril en avance.

[Neckara]

Sachant que de surcroît la gravité des vulnérabilités n'est pas prise en compte…

[stardeath]

Quelle lecture faites-vous de ces statistiques?

que les gens qui se plaignent dans les commentaires n'ont absolument pas lu ni le post de base, ni l'article original où ce dont ils se plaignent a déjà une réponse.
mais bon comme d'hab, plus facile de se plaindre que de, dans ce cas précis, lire.

[LittleWhite]

Bonjour,

Ce qui est encore plus inquiétant, c'est l'augmentation du nombre de faille, entre Windows 8.1 et Windows 10. C'est chaud, non ?

[Aiigl59]

J'en ai des crampes d'estomac ! Arf ! quelle blague !

[Braph]

Comment Debian pourrait il avoir autant de vulnérabilités, bien plus que Ubuntu, alors que ce dernier est basé sur Debian ?

Cela voudrait dire que Ubuntu ajoute 190 failles aux 360 relevées sur 2019 ??

[Axel Mattauch]

C'est bien de compter sur une décennie pour un système qui a été publié en 2015...
Et puis pour Linux, vu que c'est Open Source, il y a peut-être plus de facilité à les trouver et surtout une plus grande volonté de les communiquer (combien de vulnérabilités Windows exploitées pendant des années par la NSA avant de les dévoiler? ah non pardon ça ce ne sont pas des vulnérabilités mais des fonctionnalités...)

L'article est parfaitement clair sur les chiffres. Windows10 est crédité de 1,111 vulnérabilités sur 2015-2019, soit en le ramenant sur une décennie: 2,222 à 2,777 vulnérabilités (selon que l'on considère que la période d'existence effective de W10 soit de 5 ou 4 ans). Donc au top4 des systèmes comportant le plus de vulnérabilités. Ordre de grandeur corroboré par la table concernant 2019 (top4 & 357*10 = 3,570 vulnérabilités/décennie).

De ce point de vue, je trouve aussi que la mention "Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux" est pour le moins hâtive.

De fait, comme plusieurs commentateurs, je pense qu'il faut prendre ces chiffres pour ce qu'ils sont, c'est à dire des indicateurs. Un indicateur n'est pas, n'a jamais été et ne sera jamais une mesure. Je me solidarise avec tous les commentaires mettant en cause l'excès d'interprétation de chiffres (confer: il existe 3 sortes de mensonges: les petits mensonges, les gros mensonges et les statistiques) notamment pour comparer des "systèmes" disparates en périmètre, en fonctionnalités etc.
D'ailleurs, il manque dans cette analyse ce qui serait le plus signifiant pour l'exploitation d'un tel indicateur: l'évolution du nombre de vulnérabilités d'un système donné année après année (en faisant la distinction entre les vulnérabilités résiduelles -non traitées- et les nouvelles vulnérabilités découvertes dans l'année).

[Kuki el gato]

Encore faudrait il parler des vulnérabilités exploitées réellement, sur quels système l'ont elles été et quelles furent les conséquences réelles, et au bout de combien de temps leur a t'on apporté une solution.