Nous l'avions fait remarquer dans nos colonnes à chaque publication d'une mise à jour du système d'exploitation OS X et même d'iOS. La liste des corrections de sécurité a eu tendance à prendre un sacré embonpoint.
Il est d'ailleurs fort dommage qu'Apple ne s'étende pas sur le niveau de dangerosité propre à de telles vulnérabilités de sécurité. Microsoft a le mérite d'être plus transparent à ce sujet et cela même si annoncer une vulnérabilité critique fait mauvais genre.
GFI Software, qui propose des solutions de gestion informatique et des services pour la sécurité réseau et Web, a publié un bilan comptable 2014 des vulnérabilités de sécurité. Il se base sur les données de la National Vulnerability Database qui dépend du gouvernement US.
Concernant les systèmes d'exploitation, le pompon revient à OS X avec 147 vulnérabilités dont 64 avec un niveau de dangerosité dit élevé. On peut penser qu'il existe un lien avec les composants open source employés dans OS X et pour lesquels la recherche de failles est très active.
En deuxième position figure le système d'exploitation mobile d'Apple. iOS a été concerné par 127 vulnérabilités dont 32 à la dangerosité élevée. Windows est donc troisième ? Et bien non… c'est le noyau Linux pour 119 vulnérabilités (24 élevées).
Windows arrive derrière de tels concurrents avec moins d'une quarantaine de vulnérabilités par version. Il ne faut d'ailleurs pas les cumuler dans la mesure où une vulnérabilité pour une version de Windows affecte souvent d'autres versions. Cependant, il faut souligner que les vulnérabilités découvertes dans Windows n'ont jamais un niveau de dangerosité faible, c'est au minimum moyen et plus fréquemment élevé que les autres.
Comme souligné précédemment, c'est un bilan purement comptable qui ne met pas en évidence les vulnérabilités réellement critiques, ni même la vitesse de correction. Par ailleurs, ce ne sont pas les systèmes d'exploitation les plus concernés par des vulnérabilités mais les applications. Et dans ce domaine, le bilan 2014 est lourd pour Internet Explorer :
Là encore, il faut avoir à l'esprit que même s'il est question de vulnérabilités au niveau de dangerosité élevé, il n'y pas de distinction par rapport au niveau critique. Notamment, pour Google Chrome, parmi les vulnérabilités découvertes la firme de Mountain View n'attribue que rarement un niveau critique.
Cela étant, il faut aussi remarquer que le nombre de vulnérabilités pour Google Chrome a grandement progressé en 2014. Mais il est vrai que les chercheurs sont motivés avec des primes à la clé. Et quand ils cherchent… ils trouvent.
En 2014, le nombre de vulnérabilités de sécurité a été très nettement supérieur à celui des années précédentes.
