Vulnérabilités : Apple et Linux, les mauvais élèves en 2014
Un rapport de GFI sur les failles de sécurité contient quelques statistiques intéressantes. Ces statistiques sont réalisées à partir de la National Vulnerability Database du NIST américain.
De plus en plus de failles...
En 2014, il y a 7 038 failles de sécurité répertoriées, alors qu'en 2013 on en comptait 4 794, et 4 347 failles en 2012. Un chiffre en hausse considérablement, comme le montre ce graphique :
..Et aussi de plus en plus de failles critiques
Le nombre de failles a augmenté de façon significative, quant au nombre de failles critiques, il a également augmenté, mais de manière moins importante. Sur le total, presque un quart (24%) des vulnérabilités sont critiques, c'est moins qu'en 2013, mais c'est surtout, car il y a eu nettement plus de vulnérabilités en 2014 qu'en 2013. Au final, il y a tout de même une hausse si l'on compare les données quant aux vulnérabilités critiques découvertes : 1 492 (2011), 1 488 (2012), 1 612 (2013), et enfin 1 705 (2014).
Où se trouvent ces vulnérabilités ?
Dans les systèmes d'exploitation, mais surtout dans les applications tierces puisqu'elles représentent 83% des vulnérabilités. Par application tierce, on entend aussi bien les pilotes, que les logiciels, ou encore les plug-ins, et ce pour l'ensemble des systèmes d'exploitation, aussi bien Android et iOS, que Linux et Windows.
Les applications tierces les plus souvent ciblées sont les navigateurs, avec en tête de liste Internet Explorer, suivit de ses confrères Chrome et Firefox. Par ailleurs, Flash, Java ou encore Adobe Reader sont bien entendu dans la liste.
Je suis sûr que vous n'êtes pas surpris par les noms d'applications cités précédemment.
Voici un récapitulatif complet :
Systèmes d'exploitation : le podium est occupé par Apple et Linux
D'après les statistiques de GFI, en 2014, le système d'exploitation le plus vulnérable est OS X, avec un total de 147 vulnérabilités (64 considérées comme critiques). Chez Apple, on fait preuve de solidarité puisqu'iOS (l'OS des iPhone et iPad) est deuxième de ce classement, avec 127 vulnérabilités (32 considérées comme critiques).
De son côté, le kernel Linux complète ce podium avec 119 vulnérabilités découvertes (24 considérées comme critiques).
Voici le tableau récapitulatif :
Vous me direz, c'est facile pour Microsoft, ils sont répartis selon leurs versions et non agrégés sous un même nom. Très certainement, car la version de noyau est différente, mais aussi, car une faille peut toucher plusieurs versions différentes de Windows, ce qui fausserait le total.
Ce que l'on peut retenir de ce tableau, c'est également la place de mauvais élève pour OS X et iOS, qui représentent le plus grand total de vulnérabilités critiques.
Quoi qu'il en soit, pendant cette année 2014 de nombreuses vulnérabilités ont vu le jour. Tout le monde doit se sentir concerné, car il y a des vulnérabilités partout ! On en reparle dans un an, pour savoir ce qu'il en est pour 2015...
Faut arrêter la course au buzz, ça fait faire du n’importe quoi…
Mac OS X => 147
Linux Kernel => 119
*Windows => 38+36+38+36+36+34+30 = 248
* : Et comme par hasard pour Windows on découpe ? Alors que des distributions Linux y’en a tout un tas et pas forcément impactées par les mêmes vulnérabilités (le noyau Fedora n’est pas le même que le noyau Ubuntu, de même avec CentOS et Debian)
De plus pour OS X, toutes versions confondues ? Si on considère la moitié du système opensource (Macports/Brew/Fink/…) un port upgrade suffit à mettre à jour, et l’équipe OpenSource Darwin/Apple est très réactive aussi (grâce à sa base BSD)
Puisque pour OS X et Linux toutes les versions sont résumées autant le faire pour Windows !