Sécurité IT : une cartographie contestée des vulnérabilités

Absence d’indicateurs sur Android, recours à une base de données publique comme seule source d’information, traitement de Windows version par version alors que les résultats sont consolidés pour Linux et OS X : le dernier bilan de GFI Software sur la sécurité IT en 2014 ne remporte pas l’adhésion globale des administrateurs systèmes.

Le rapport – synthétisé dans une contribution blog – illustre toutefois les grandes tendances de l’année écoulée et fournit quelques éléments concernant le nombre de failles découvertes, leur niveau de criticité et les principales cibles des pirates informatiques.

En 2014, plus de 7000 failles ont été ajoutées dans la National Vulnerability Database (NVD) gérée par le gouvernement américain. Près d’un quart (24 %) sont d’un niveau critique. Le taux est inférieur à celui enregistré en 2013 (32 %), mais en valeur absolue (1705 vulnérabilités), on atteint un niveau sans précédent depuis 2010 (1887 failles ajoutées cette année-là).

Dans 83 % des cas, ces vulnérabilités résident dans des applications. Comme depuis plusieurs années, les navigateurs Web restent les plus touchés : 242 failles, dont 220 classées critiques sur Internet Explorer (qui dominait déjà le classement en 2013) ; 124 failles, dont 86 critiques sur Chrome (en tête de palmarès en 2010 et 2011) ; 117 failles, dont 57 critiques sur Firefox (qui emmenait la meute en 2009 et 2012).

Ces statistiques sont néanmoins critiquées. Dans un commentaire sur le fil de discussion rattaché à l’étude de GFI, on peut notamment lire que Google « a corrigé 158 vulnérabilités rien que dans Chrome 38 », lancé en octobre 2014. Et que ce sont « plusieurs dizaines de failles » qui sont colmatées toutes les six semaines avec la mise à jour de Firefox.

Les navigateurs Web sont suivis, dans la hiérarchie des applications les plus fragiles, par les plugins Java d’Oracle (104 failles, dont 50 critiques) et Flash d’Adobe (76 failles ; 65 critiques). Dans le top 12, on retrouve plusieurs produits Mozilla (Thunderbird, Firefox ESR, SeaMonkey) et d’autres logiciels Adobe (AIR, Reader, Acrobat).

Des 7048 vulnérabilités ajoutées dans la NVD au cours de l’année, 4 % touchent des équipements, essentiellement réseau. 13 % affectent des systèmes d’exploitation. D’après les mesures de GFI Software, ce sont les deux OS d’Apple qui mènent la danse : 147 vulnérabilités, dont 64 critiques sur OS X… et 127, dont 32 critiques sur iOS. Linux suivrait avec 119 failles répertoriées.

Problème : alors que toutes ces plates-formes sont consolidées, les produits Microsoft sont traités version par version. Le nombre de vulnérabilités baisse nécessairement de façon spectaculaire : un peu plus d’une trentaine sur les différentes moutures desktop (36 sur Windows 7, 8 et 8.1) et environ une quarantaine sur serveur (Windows Server 2008, 2012).

Si les failles d’Internet Explorer sont clairement dissociées de celles des systèmes d’exploitation avec lesquels il est livré (Windows en l’occurrence), rien n’est précisé pour le cas de Safari avec iOS et OS X.

Pour des résultats « 100 % consolidés », on consultera le tableau établi par un sysadmin enregistré sous le pseudo J. Manu et partagé publiquement sur Dropbox (voir ci-dessous). Nous avons pris contact avec GFI Software pour plus d’informations. L’article sera mis à jour en conséquence.