Le récent classement " Dirty Dozen " de la société de sécurité Bit9 a largement été relayé sur la Toile, d'autant qu'il a sacré Google Chrome en tant qu'application la plus vulnérable. Mais Bit9 estime qu'une petite mise au point s'impose, jugeant que son classement a été mal interprété.

Pour Bit9, il s'agit de montrer que tous les logiciels ont des failles et d'ainsi titiller la vigilance des utilisateurs qui doivent penser à mettre à jour leurs applications, si du reste un mécanisme automatique ne s'en charge pas à leur place. La société insiste sur le fait que tous les éditeurs répertoriés dans son classement font un " superbe travail " afin de corriger les vulnérabilités et protéger les utilisateurs.

Responsable technique chez Bit9, Harry Sverdlove insiste par ailleurs sur la prise en compte du contexte. Les données compilées pour établir le classement sont issues de la base de données du NIST et le classement ne fait pas le distinguo entre des vulnérabilités rapportées par les éditeurs eux-mêmes et d'autres par des tiers. Il ne tient également pas compte du temps moyen pour corriger une vulnérabilité, du fait qu'une seule vulnérabilité pour être la source de plusieurs problèmes de sécurité.

Harry Sverdlove revient aussi sur les cas de Mozilla et Google qui ont mis au point des programmes de rétribution pour les failles découvertes. De tels programmes " peuvent conduire à un nombre plus élevé de vulnérabilités rapportées, tout en conduisant également à des produits plus sûrs ".

Soulignant aussi que certains éditeurs rapportent les vulnérabilités découvertes en interne alors que d'autres ne le font pas, il indique que les produits en tête du classement Dirty Dozen peuvent en réalité être les plus sûrs ou présentant le moins de risques, dans la mesure où l'utilisateur les maintient à jour.