Discussion :

[Hinault Romaric]

Quels ont été les systèmes les plus vulnérables en 2013 ?
Internet Explorer, Java et Chrome en tête du classement de GFI Labs

GFI Labs vient de publier un rapport sur les menaces de sécurité en 2013, afin de prévoir les susceptibles problèmes de sécurité qui pourraient arriver dans les années à venir.


Après analyse des chiffres du National Vulnerability Database (NVD), GFI Labs estime qu’en 2013, les chercheurs en sécurité ont découvert en moyenne 13 nouvelles vulnérabilités par jour. Un total de 4794 failles de sécurité ont été signalées en 2013, dont le tiers a été marqué comme « critiques ». Ce chiffre représente le plus élevé enregistré au cours des cinq dernières années.

Le rapport de GFI Labs ressort également les applications, systèmes d’exploitation et les sociétés dont les produits ont enregistré le plus de signalisations de failles de sécurité au cours de l’année 2013.

On apprend ainsi qu’Oracle est l’entreprise qui a enregistré pendant cette période le plus de vulnérabilités sur ces produits. 514 failles de sécurité ont été signalées pour les produits de l’éditeur. Java a lui seul représente 193 failles, avec plus de 100 qui ont été classifiées de gravité critique. Oracle est suivi par Cisco (373 failles) et Microsoft (344 failles).

En ce qui concerne les applications, Internet Explorer enregistre le plus de vulnérabilités critiques (117). Le navigateur est suivi par Java et Chrome (100 failles critiques découvertes).

Du côté des systèmes d’exploitation, les produits de Microsoft se partagent le top 5 du classement. Windows 7 qui n’avait enregistré que 42 failles en 2012 (dont 33 critiques), voit ce chiffre passer à 100, pour 55 failles critiques. Pratiquement tous les OS ont fait face à une augmentation considérable du nombre de vulnérabilités en 2013.

La croissance importante du nombre de vulnérabilités en 2013 montre que le développement des nouveautés prône sur l’aspect sécurité des applications ?

Source : GFI Labs

[LSMetag]

Si ça continue je vais laisser tomber Chromium pour Opera... Mais j'aurais aimé avoir un compte rendu pour les dernières versions d'Opera.

[Invité]

Si ça continue je vais laisser tomber Chromium pour Opera... Mais j'aurais aimé avoir un compte rendu pour les dernières versions d'Opera.

Ça ne veut rien dire. Plus un système est populaire, plus il sera soumis à des attaques, plus des vulnérabilités seront trouvées. On ne peut pas en déduire que les autres systèmes sont plus ou moins vulnérables AMHA.

[Daïmanu]

On voit quand même que beaucoup de logiciels sont touchés, open-source ou pas.
Mais d'après ces chiffres il y a plus de failles « critiques » dans les systèmes fermés .

[cbleas]

bonjour

On voit quand même que beaucoup de logiciels sont touchés, open-source ou pas.
Mais d'après ces chiffres il y a plus de failles « critiques » dans les systèmes fermés .

Je voudrais comprendre si celui qui a le plus de faille est linux Kernel comment arrivez vous à votre conclusion?

[Daïmanu]

bonjour
Je voudrais comprendre si celui qui a le plus de faille est linux Kernel comment arrivez vous à votre conclusion?

Linux a beaucoup plus de failles « médium », mais pas énormément de « critique ».

[-Dici-]

C'est vrai qu'il faut prendre ces chiffres avec des pincettes, c'est exactement comme les chiffres sur la criminalité : si vous dépénalisez le vol à main armé au jour du 01/01/2014, on devrait constater d'ici 2015 une baisse sensible de la "criminalité" tout simplement parce qu'on ne pourra plus porter plainte suite à un vol. Idem quand la police se retire de certains quartiers chauds qui deviennent des zones de non-droit mais qui ne font plus grimper les statistiques !

Je pense comme d'autres que ces systèmes/logiciels sont victimes de leur succès mais qu'on ne peut pas dire grand chose sur la qualité de leurs éditeurs avec des statistiques de ce genre, ça appelle seulement à la prudence.

[grunk]

Il serait intéressant d'avoir le rapport nombre d'attaques/vulnérabilités.

Dire qu'on à trouver 500 failles dans X si il à été attaqué 10 million de fois c'est pas comme avoir trouver 10 failles sur 100 attaques ...

Bref dans l'état c'est une étude qui vaut pas grand chose, si ce n'est peut être mettre en avant les solutions proposées par GFI

[tontonnux]

Je n'arrive pas à déterminer sur quelle colonne est fait le tri du dernier tableau.
Quelqu'un pour m'éclairer ?

[Havok Novak]

Ça prouve à nouveau que la sécurité par l’obscurité (modèle phare du logiciel propriétaire) n’est pas efficace. En effet, même avec un code source non disponible, les pirates trouvent plus de failles dans les logiciels propriétaires que dans les logiciels dont le code source est ouvert, alors que justement ça devrait être beaucoup plus facile d’en trouver dans ces derniers.

Intéressante étude, donc, même si incomplète (comme l’ont dit certains au-dessus).