Discussion :

[Idelways]

Vos outils de travail sont-ils réellement fiables ?
Une analyse des vulnérabilités enregistrées en 2009 remet en question certaines idées reçues



Une étude indépendante réalisée durant le premier trimestre de cette année à la demande de Microsoft et couvrant les vulnérabilités enregistrées en 2009 remet en question quelques préjugés sur la sécurité de certains produits jugés vulnérables ou au contraire réputés fiables.

L'étude qui se limite aux systèmes d’exploitation et les systèmes de gestions de base de données (SBGD) compare des gammes de produits propriétaires ou open-sources équivalents (sorties durant les mêmes périodes) dans leurs plus récents Services Packs ou updates.

Pour les systèmes d'exploitation, elle oppose les trois dernières versions majeures de Microsoft Windows aux versions concurrentes de MacOS X, Linux Redhat, Ubuntu, et Suse.

Quant aux bases de données, les vulnérabilités des solutions Microsoft (SqlServer), Oracle, IBM et Sun (MySQL) ont était analysées.

Les résultats sont intéressants, et peuvent sembler pour certains étonnants, en effet, l'OS de Windows, dans ses versions XPSP3, Vista SP1 et 7 enregistre le moins de vulnérabilités, loin derrière les distributions Linux.
L'OS de la firme de la Pomme arrive en deuxième position.

Pour les distributions linux, on constate une percée remarquable de la distribution Ubuntu en termes d'efforts sur la sécurité entre la version 8.4 et 9.10, cette dernière serait même plus fiable que Suse et RedHat.

Cependant, la majeure partie des vulnérabilités publiées sur Windows XP SP3, Vista SP1 et Windows 7 ont un fort niveau de criticité.

Toutefois leur nombre est globalement inférieur à la moyenne des autres systèmes d’exploitation, pour le même niveau de criticité. Exception faite pour MacOS X 10.5.2 et 10.5.3 qui enregistrent moins de failles de niveau critique que Windows XPSP3 et Vista.

La même tendance se confirme pour les systèmes de gestion des bases de données avec une suprématie absolue pour Microsoft SQL Server qui n'enregistre aucune vulnérabilité durant l'année 2009 aussi bien pour la version 2005 que 2008.

Le SGBD open-source MySQL, enregistre lui aussi des performances remarquables avec seulement 3 et 2 vulnérabilités détectés pour, respectivement, les versions 5.0.38 et 5.1.30.

L'étude s'intéresse aussi aux « days-of-risk » ou le nombre de jours écoulés entre la découverte des failles et la parution d'un correctif.

Là aussi Microsoft fait figure de bon élève et corrige immédiatement la majorité des failles.

Un autre fait marquant est qu'Apple est l'éditeur qui laisse le plus de vulnérabilités sans correctifs (lire par ailleurs Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques)


Pour plus de détails, l'étude complète est disponible via ce lien

Et vous ?

Que pensez-vous de ces résultats ?
Vous ou vos proches pensez-vous que les OS propriétaires soient plus vulnérables ? D'où viennent selon-vous ces idées-reçues ?

[gorgonite]

il suffit juste de ne pas dévoiler les failles non corrigées pour truquer ce genre de stats... et évidemment, l'open-source ne peut se le permettre aussi aisément


donc l'étude n'est à la rigueur pertinente que pour comparer 2 solutions open-source à "bugtrack publics", ou 2 solutions complètement cloisonnées... mais tout le reste n'est que pure spéculation, voire graines à trolls

[manudwarf]

C'est drôle, j'avais lu une étude montrant que les serveurs Unix avaient un uptime annuel BIEEEN meilleur que Windows.

Bref, comme toujours : il n'y a pas de mauvais système, que des mauvais admins/développeurs/utilisateurs.

[trenton]

Une étude indépendante

Aussi indépendante que l'étude qui démontrait (sic!) que windows coute moins cher que GNU-Linux ?

[yoyo88]

Que pensez-vous de ces résultats ?

Pas grand chose, juste qu'il y va y avoir un raz de marrée de troll....

Vous ou vos proches pensez-vous que les OS propriétaires soient plus vulnérables ? D'où viennent selon-vous ces idées-reçues ?

plus ou moins vulnérable je sais pas.

Mais l'idée reçue vient du fait que :
1) 80% de la population sous Windows se connecte en administrateur tout le temps.
2)cette même population télécharge souvent avec e-mule et/ou va sur des sites à risque
3) installe (ou pas) un anti-virus mais le lance jamais de scan!

4) les FAI nous vendent leurs anti-virus sécuritoomachinchose pour seulement 9€/mois et Il faut a tout prix prendre un anti-virus sinon c'est la mort assuré selon le FAI. mais de toute façon.... voir 3)

5) Norton est installé de basse sur les PC de supermarché (la ou 80% de la population sous windows achète leurs PC) car selon le constructeur c'est la mort assurer si on n'achete pas Norton.... voir 3)


Bref on nous fait croire (a tort je pense) que windows et internet est un monde plein de danger ou la survie est impossible sans anti-virus...

[remixtech]

Même si je reste sceptique sur les chiffres de cette publication... Je suis certain que l'engouement antiwindows est exagéré

Je tourne sans antivirus sous windows depuis 5 ans. Je ne travaille pas en administrateur et je n'ai jamais eu de problème de virus.

J'ai aussi un server Windows 2008 et les seules fois où je l'ai rebooté c'est uniquement pour faire les mises à jours. Pas moins bien que linux...

[mortapa]

oui m'enfin t'es un peu un ovni dans le genre sans les droits admin de mon pc je ne fais pas grand chose.. voire rien du tout.

Je le vois bien au boulot ou je dois taper 4-5 fois le nom de passe super_user pour faire des opérations.

Après comment si tu as ni anti-virus ni parfeu j'espère que ta box à un super parfeu.

je me suis branché une fois en direct sur le net sans par-feu ni anti virus (à l'époque win xp sp2) résultat en moins de 10min écran bleu fatal error, je reboot le pc j'avais l'écran bleu en boucle ... obligé de le formater alors que je l'avais fait il y a moins de 30 min

[Jérôme_C]

Je le vois bien au boulot ou je dois taper 4-5 fois le nom de passe super_user pour faire des opérations.

Après comment si tu as ni anti-virus ni parfeu j'espère que ta box à un super parfeu.

je me suis branché une fois en direct sur le net sans par-feu ni anti virus (à l'époque win xp sp2) résultat en moins de 10min écran bleu fatal error, je reboot le pc j'avais l'écran bleu en boucle ... obligé de le formater alors que je l'avais fait il y a moins de 30 min

J'ai toujours été dubitatif face à ceux qui se font attaquer dès qu'ils sont attaqués par Internet. Jamais eu de soucis de ce genre non plus.

Faire des opérations d'administrateurs Windows, ça doit me prendre peut-être bien moins souvent que sur Linux, où le sudo arrange bien des choses, mais est mal configuré dans la plupart des machines, ce n'est pas la panacée...

Les opérations trop répétitives d'administrateurs sur une machine Windows sont souvent le fait d'applications conçues sans prendre en compte les spécificités de Windows, qui ont gardé les principes des premières machines où il n'y avait pas d'administrateur (ou alors bien déguisé).


J'ai cru comprendre aussi que Linux n'est pas l'OS Unix le plus à la pointe niveau maitrise de la vulnérabilité.


@yoyo88 : Une étude citant Windows, deux Linux et un MacOS ne cilbe peut-être pas 80 % des ménages mais plutôt des professionnels où souvent il y a une DSI qui chapeaute plus ou moins le tout.

Ne pas pouvoir installer ses petits utilitaires pratiques ou les plugins indispensables à son logiciel professionnel faute d'être administrateur sont des expériences à mon avis plus courantes que celui qui ouvre son PC avec emule et son Antivirus sans scan régulier. En tout cas, c'est celui qui est plus sensibilisé à la vulnérabilité de son PC.

[bioinfornatics]

je trouve ça marrant que l'on dise qu'ubuntu développe sur la sécurité alors qu'ils produisent 0 code a ce sujet
Puis cette étude et de tout manière biaisé pour rassurer les moutons, faire hurler les troll et autres
Bref du blabla et du vent

[alexrtz]

Une étude indépendante réalisée durant le premier trimestre de cette année à la demande de Microsoft

Les informations contenues dans le présent document représentent le point de vue actuel de Microsoft Corporation sur les questions traitées à la date de sa publication.

[DelphiManiac]

Autant je bosse sous windows tous les jours et ne suis pas un fervent adepte de linux (à part pour mes serveurs web), autant, une publication indépendante commandité par Microsoft et qui ne la publie, bien sûr que si ça l'arrange, ça me fatigue un peu :/ D'ailleurs, je n'ai même pas trouvé qui a réalisé l'étude, peut-être une société detenu à 99% par microsoft, mais indépendante.

Etant tout de même curieux, je me suis penché sur quelques unes des entrées indiquant quelles sont les défaillances rattaché à un système.

Je ne suis pas allez bien loin et ai pioché donc dans les système les plus à risque :

CVE-2009-0774 - http://cve.mitre.org/cgi-bin/cvename...=CVE-2009-0774
CVE-2009-0775 - http://cve.mitre.org/cgi-bin/cvename...=CVE-2009-0775
CVE-2009-0776 - http://cve.mitre.org/cgi-bin/cvename...=CVE-2009-0776
CVE-2009-0777 - http://cve.mitre.org/cgi-bin/cvename...=CVE-2009-0777

et à priori la plupart des éléments de cette colonne concerne donc les produits mozilla, Firefox entre autre.

Alors à moins qu'un utilisateur n'utilise jamais Firefox sur un environnement microsoft, il est facile de biaiser l'étude.

Je n'aborde même pas le sujet concernant les virus, sachant que ceux-ci sont majoritairement développé dans le but de viser Windows et donc de passer par les failles de sécurité de Firefox (entre autre).

Je me suis arrêté là, ceci confirmant le peu d'indépendance de l'étude.

[Traroth2]

1. Je clique sur un lien sur developpez.com et je me retrouve sur microsoft.com. On n'est pas loin du lien publicitaire, là. Surtout que la page ressemble quand même beaucoup à une page promotionnelle...
2. Une étude "indépendante" comparant des produits Microsoft à des produits concurrents, se trouvant sur le site de Microsoft ?
3. Cette étude conclue sans surprise que les produits Microsoft, en commençant par leurs OS Windows, sont bien plus fiables que les autres produits, par exemple les OS de la famille Unix, ce que quiconque d'un peu instruit en la matière sait être faux, bien que les études "indépendantes" financées par Microsoft arrivent à cette conclusion depuis 15 ans