Vulnérabilités IT : Android et Oracle se distinguent chacun de leur côté
Intéressant de décortiquer CVEdetails.com (base de données des failles logicielles) : Android arrive en tête des volumes CVE par produits recencés en 2016. Mais Oracle se démarque sous un autre angle.
Quels sont les logiciels les plus affectés par des failles sur l’année 2016 ? Android, répond le consultant en sécurité IT Serkan Özkan qui alimente une base de données de vulnérabilités sur CVEdetails.com (en s’appuyant sur les travaux de MITRE Corp du nom d’une organisation à but non lucratif proche du ministère américain de la Sécurité Intérieure).
Il a fourni un classement global sur 50 logiciels (OS et applications) sur l’année 2016.
Sur un volume global de 6098 vulnérabilités informatiques publiquement référencées (CVE en anglais c’est-à-dire découvertes et patchées par les éditeurs), 523 affectent Android (sur un total de 695 émanant de la galaxie des services Google).
Un volume de failles qui permet au système d’exploitation mobile de Google de décrocher la première place du podium parmi les OS. Puis les systèmes Linux prennent le relais : Debian (319 CVE) et sa distribution dérivée Ubuntu (278).
« Un volume élevé qui s’explique probablement par le nombre important d’applications tierces (ou plutôt de paquets logiciels) intégrées à ces distributions open source », estime Silicon.fr. A lui seul, le noyau Linux (Linux Kernel) référence 217 CVE détectées l’an passé.
Quid de Microsoft qui cumule 1325 failles tous produits confondus ? Les regards se tournent logiquement vers Windows. CVEdetails.com recense seulement 172 vulnérabilités directement attachées à Windows 10. C’est moins que Mac OS X (215) alors qu’Apple cumule 611 alertes de sécurité IT sur sa gamme de services et produits.
Il est entendu qu’en cumul des diverses versions de l’OS Windows (desktop, Server, RT) et des générations (Windows 8.1, Windows 7, Windows Vista…), Microsoft doit faire face à un volume plus importants de failles qu’Android en solo. D’autres vulnérabilités sont associées à des produits Microsoft comme le navigateur Internet Edge (135) et la suite bureautique Office (48).
Dans la catégorie des applications, la contribution d’Adobe est impressionnante : dont 266 failles pour Flash Player et et 224 pour Acrobat.
Dans cette dimensions produits, Oracle apparaît en deuxième partie de tableau avec 111 faiblesses sur sa version Linux, 100 avec son SGBD MySQL et 74 avec son OS Solaris.
Mais attention à la grille de lecture. Si l’on effectue un classement par éditeurs (en éludant la vision produits), la perspective change.
Puisque, sur l’année 2016, c’est…Oracle qui arrive en première position avec 793 vulnérabilités recensées, puis Google (intégrant Android) suit avec 698 failles et Adobe (548) boucle le tiercé.
Microsoft pointe à la quatrième place (492), devant Novell (394).