Les développeurs Linux corrigent les failles de sécurité plus rapidement qu'Apple, Google ou même Microsoft
selon un rapport du Google Project Zero
L'équipe Google de recherche sur la sécurité, Project Zero, a indiqué que les développeurs de Linux corrigent les bogues de sécurité plus rapidement que quiconque, y compris Google. Selon elle, en 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées par Project Zero. Il s'agit d'une accélération significative par rapport à une moyenne d'environ 80 jours il y a 3 ans.
Outre le fait que la moyenne est désormais bien inférieure au délai de 90 jours, l'équipe a également constaté une baisse du nombre de fournisseurs qui ne respectent pas le délai (ou le délai de grâce supplémentaire de 14 jours). En 2021, un seul bogue a dépassé son délai de correction, bien que 14 % des bogues aient nécessité le délai de grâce. Les différences dans le temps nécessaire à un fournisseur/produit pour envoyer un correctif aux utilisateurs reflètent la conception de leur produit, les pratiques de développement, la cadence de mise à jour et les processus généraux vers les rapports de sécurité.
« Depuis près de dix ans, le projet Zero de Google s'efforce de rendre plus difficile pour les acteurs malveillants de trouver et d'exploiter les vulnérabilités de sécurité, améliorant considérablement la sécurité d'Internet pour tous. Au cours de cette période, nous nous sommes associés à des personnes de l'industrie pour transformer la façon dont les organisations hiérarchisent et abordent la résolution des vulnérabilités de sécurité et la mise à jour des logiciels des utilisateurs.
« Pour aider à contextualiser les changements que nous voyons l'écosystème opérer, nous avons examiné l'ensemble des vulnérabilités signalées par Project Zero, comment une gamme de fournisseurs y ont répondu, puis avons tenté d'identifier les tendances dans ces données, telles que la façon dont l'industrie dans son ensemble corrige les vulnérabilités plus rapidement.
« Pour cet article, nous examinons les bogues corrigés qui ont été signalés entre janvier 2019 et décembre 2021 (2019 est l'année où nous avons apporté des modifications à nos politiques de divulgation et avons également commencé à enregistrer des mesures plus détaillées sur nos bogues signalés). Les données auxquelles nous ferons référence sont accessibles au public sur Project Zero Bug Tracker et sur divers référentiels de projets open source (dans le cas des données utilisées ci-dessous pour suivre la chronologie des bogues de navigateur open source).
« Nos données comportent un certain nombre de mises en garde, la plus importante étant que nous examinerons un petit nombre d'échantillons, de sorte que les différences de nombre peuvent ou non être statistiquement significatives. De plus, la direction de la recherche de Project Zero est presque entièrement influencée par les choix des chercheurs individuels, de sorte que des changements dans nos objectifs de recherche pourraient modifier les paramètres autant que des changements dans les comportements des fournisseurs. Autant que possible, cet article est conçu pour être une présentation objective des données, avec une analyse subjective supplémentaire incluse à la fin ».
Project Zero a donc examiné les bogues corrigés qui avaient été signalés entre janvier 2019 et décembre 2021. Les chercheurs ont découvert que les développeurs open source corrigeaient les problèmes Linux en seulement 25 jours en moyenne. De plus, les développeurs de Linux ont amélioré leur vitesse de correction des failles de sécurité, passant de 32 jours en 2019 à seulement 15 en 2021.
Ses concurrents n'ont pas fait aussi bien. Par exemple, Apple, 69 jours ; Google, 44 jours ; et Mozilla, 46 jours. Microsoft, 83 jours, et Oracle, bien qu'avec seulement une poignée de problèmes de sécurité, avec 109 jours. Selon le décompte de Project Zero, d'autres, qui comprenaient principalement des organisations et des entreprises open source telles qu'Apache, Canonical, Github et Kubernetes, sont arrivés avec un délai respectable de 44 jours.
En règle générale, tout le monde corrige plus rapidement les bogues de sécurité. En 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les vulnérabilités de sécurité signalées. Il y a seulement trois ans, la moyenne était de 80 jours. En particulier, l'équipe de Project Zero a noté que Microsoft, Apple et Linux ont tous considérablement réduit leur temps de réparation au cours des deux dernières années.
Systèmes d'exploitation mobile
En ce qui concerne les systèmes d'exploitation mobiles, Apple iOS avec une moyenne de 70 jours s'en sort un peu mieux qu'Android avec ses 72 jours. D'un autre côté, iOS avait beaucoup plus de bogues, 72, qu'Android avec ses 10 problèmes signalés par l'équipe de sécurité.
« La première chose à noter est qu'il semble qu'iOS ait reçu remarquablement plus de rapports de bogues de Project Zero que n'importe quelle saveur d'Android pendant cette période, mais plutôt qu'un déséquilibre dans la sélection des cibles de recherche, cela reflète davantage la façon dont Apple livre les logiciels. Les mises à jour de sécurité pour les "applications" telles que iMessage, Facetime et Safari/WebKit sont toutes fournies dans le cadre des mises à jour du système d'exploitation, nous les incluons donc dans l'analyse du système d'exploitation. D'autre part, les mises à jour de sécurité pour les applications autonomes sur Android sont effectuées via le Google Play Store, elles ne sont donc pas incluses ici dans cette analyse.
« Malgré cela, les trois fournisseurs ont un temps moyen de réparation extraordinairement similaire. Avec les données dont nous disposons, il est difficile de déterminer combien de temps est consacré à chaque partie du cycle de vie de la vulnérabilité (par exemple, triage, création de correctifs, tests, etc.). Cependant, les produits open source offrent une fenêtre sur l'endroit où le temps est passé ».
Navigateurs
Les problèmes de navigateurs sont également résolus à un rythme plus rapide. Chrome a résolu ses 40 problèmes en un peu moins de 30 jours en moyenne. Mozilla Firefox, avec seulement 8 failles de sécurité, les a corrigées en 37,8 jours en moyenne. Webkit, le moteur de navigateur Web d'Apple, qui est principalement utilisé par Safari, a un bilan bien plus médiocre. Les programmeurs de Webkit mettent en moyenne plus de 72 jours pour corriger les bogues.
« Pour la plupart des logiciels, nous ne sommes pas en mesure d'approfondir les détails de la chronologie. Plus précisément : après qu'un fournisseur a reçu un rapport sur un problème de sécurité, combien de "temps de résolution" est passé entre le rapport de bogue et la production du correctif, et combien de temps est passé entre la production de ce correctif et la publication d'une version avec le correctif ? La seule fenêtre que nous avons est celle des logiciels open source, et spécifique au type de recherche de vulnérabilité que fait Project Zero, les navigateurs open source ».
Le tableau et le graphique mis ensemble peuvent nous dire quelques choses :
- Chrome est actuellement le plus rapide des trois navigateurs pour ce qui concerne les corrections des vulnérabilités signalées par Project Zero, avec un délai de 30 jours entre le rapport de bogue et la publication d'un correctif dans le canal stable. Le temps de patch est très rapide ici, avec seulement 5 jours en moyenne entre le rapport de bogue et la publication du patch en public. L'heure à laquelle ce patch doit être rendu public est la majeure partie de la fenêtre temporelle globale, bien que dans l'ensemble, nous voyions toujours les barres de Chrome (bleues) de l'histogramme vers le côté gauche de l'histogramme. (Remarque importante : bien qu'il soit hébergé au sein de la même entreprise, Project Zero suit les mêmes politiques et procédures avec Chrome qu'un chercheur en sécurité externe suivrait) ;
- Firefox arrive en deuxième position dans cette analyse, mais avec un nombre relativement restreint de points de données à analyser. Firefox publie un correctif en moyenne en 38 jours. Un peu moins de la moitié de ce temps est nécessaire pour que le correctif soit rendu public, bien qu'il soit important de noter que Firefox retarde intentionnellement la validation des correctifs de sécurité pour réduire la quantité d'expositions avant la publication du correctif. Une fois le correctif rendu public, il publie la version corrigée en moyenne quelques jours plus rapidement que Chrome, la grande majorité des correctifs étant expédiés 10 à 15 jours après leur correctif public ;
- WebKit est la valeur aberrante de cette analyse, avec le plus long nombre de jours pour publier un correctif à 73 jours. Leur temps pour livrer publiquement le correctif se situe entre Chrome et Firefox, mais malheureusement, cela laisse beaucoup de temps aux attaquants opportunistes pour trouver le correctif et l'exploiter avant que le correctif ne soit mis à la disposition des utilisateurs. Cela peut être vu par les barres Apple (rouges) du deuxième histogramme se trouvant principalement sur le côté droit du graphique, et chacune d'entre elles sauf une dépassant la barre des 30 jours.
Project Zero donne aux développeurs 90 jours pour résoudre les problèmes de sécurité. Outre que la moyenne est désormais bien inférieure au délai de 90 jours, l'équipe a également constaté une baisse du nombre de fournisseurs qui ne respectaient pas le délai ou le délai de grâce supplémentaire de 14 jours.
L'année dernière, un seul bogue, un problème de sécurité de Google Android, a dépassé son délai de correction, bien que 14 % des bogues aient nécessité les deux semaines supplémentaires. Pourtant, tout le monde fait un bien meilleur travail de correction des bogues de sécurité qu'il ne l'a fait ces dernières années.
« Dans l'ensemble, nous voyons un certain nombre de tendances prometteuses émerger des données. Les fournisseurs corrigent presque tous les bogues qu'ils reçoivent, et ils le font généralement dans le délai de 90 jours plus le délai de grâce de 14 jours si nécessaire. Au cours des trois dernières années, les fournisseurs ont, pour la plupart, accéléré leurs correctifs, réduisant efficacement le temps moyen global de correction à environ 52 jours. En 2021, il n'y a eu qu'un seul délai de 90 jours dépassé. Nous pensons que cette tendance peut être due au fait que les politiques de divulgation responsable sont devenues la norme de facto dans l'industrie et que les fournisseurs sont mieux équipés pour réagir rapidement aux rapports avec des délais différents. Nous soupçonnons également que les fournisseurs ont appris les meilleures pratiques les uns des autres, car il y a eu une transparence croissante dans l'industrie ».
Source : Project Zero
Et vous ?
Quelle lecture faites-vous de ce rapport ?
Les délais de divulgation de l'équipe Google Project Zero sont-ils susceptibles d'avoir influencé l'industrie dans son ensemble ?
Partager