La société de sécurité Tripwire s'est amusée à analyser le Patch Tuesday de Microsoft. Tous les deuxièmes mardis de chaque mois, la firme de Redmond diffuse une série de mises à jour de sécurité pour ses produits logiciels bénéficiant d'un support.

Un constat de cette analyse est que Microsoft intègre davantage de vulnérabilités (le nécessaire pour la correction) dans moins de bulletins de sécurité. Tripwire explique cette tendance observée en 2014 par de plus en plus de chercheurs en sécurité qui divulguent des vulnérabilités auprès de Microsoft et en découvrent plus rapidement grâce à de meilleurs outils.

Le problème est que si des hackers white hat trouvent plus rapidement des vulnérabilités, c'est probablement également le cas pour les hackers black hat qui ne prendront évidemment pas la peine de prévenir Microsoft.

Patch-Tuesday-2014-tendance
Nombre de vulnérabilités en rouge ; nombre de bulletins de sécurité en orange

En 2014, il y a eu 28 bulletins de sécurité critiques publiés contre 42 en 2013. Une bonne nouvelle en apparence qui est contrebalancée par le constat précédent. À lui seul, Internet Explorer a représenté 43 % des vulnérabilités critiques de 2014.

Pour 2015, Tripwire anticipe que Microsoft va continuer d'intégrer beaucoup de vulnérabilités dans chaque bulletin de sécurité et avec toujours Internet Explorer en tête d'affiche. Spartan es-tu là ? Mais Tripwire prédit également un pic dans les publications de mises à jour hors cycle.

En dépit d'un délai de grâce de 90 jours avant une divulgation publique, une initiative telle que Project Zero de Google serait l'une des causes d'une multiplication des publications de Microsoft en urgence.

Source : Tripwire