S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Secunia : vérifiez vos logiciels tiers et moins les produits Microsoft

Translation de failles

Le monde de la sécurité est en constante évolution et les menaces ne se situent pas toujours où on le croit. Le dernier rapport du très connu Secunia, qui surveille l’activité sur la sécurité informatique, est sans appel : sur la plateforme Windows, l’écrasante majorité des failles de sécurité n’est plus dans les produits Microsoft. Les entreprises vont devoir s’adapter.

Secunia a publié un nouveau rapport de sécurité sur l’ensemble de 2012 pour la plateforme Windows. Il s’agit traditionnellement du système le plus examiné car le plus utilisé. En environnement d’entreprise, le suivi des failles va de pair avec la gestion du parc informatique : plus celui-ci est grand, plus il y a de chances que l’entreprise bénéficie d’une prise en charge spécifique des mises à jour suivant les cycles de diffusion. Chez Microsoft, il existe d’ailleurs un produit, WSUS (Windows Server Update Services). Cependant, avec les années la firme de Redmond a nettement révisé ses méthodes de développement, et les risques majeurs ont glissé vers d’autres produits.

Pas loin de 10 000 failles recensées en 2012 

Selon Secunia, ce ne sont pas moins de 9776 failles qui ont été détectées en 2012 sur 2503 applications. L’entreprise a isolé les 50 plus populaires et en a déterminé un chiffre important : 86 % des failles ne sont pas situées dans les produits Microsoft. Il s’agit d’une augmentation plus que significative vis-à-vis de 2011 puisque ce chiffre était de 78 %. Il y a cinq ans, il n’était même que de 57 %.

 

secunia

 

Qu’est-ce que cela signifie dans la pratique ? Plusieurs éléments importants à prendre en compte. D’une part, les yeux doivent moins regarder les produits Microsoft et davantage la multitude d’applications tierces. Chacune peut être le vecteur d’une faille et il en suffit d’une seule pour permettre une exploitation qui torpillera toute la sécurité de l’entreprise. D’autre part, la vision de la sécurité par l’entreprise justement doit évoluer pour prendre en compte un nombre de paramètres malheureusement beaucoup plus important.

Les produits Microsoft ne sont plus à surveiller en priorité 

Il est en effet délicat de faire le compte de l’intégralité des éléments en jeu. Mais il ne sert à rien de blinder les défenses d’un parc sur les produits Microsoft tels que Windows et Office, d’installer des pare-feux ainsi que des antivirus si c’est par exemple pour ne jamais contrôler les mises à jour du plug-in Flash dans Internet Explorer ou Firefox. Il existe autant de portes d’entrée que d’applications, certaines en contenant même des centaines qui attendent d’être découvertes.

 

Et « centaines » n’est en fait pas un mot exagéré. Sur l’année 2012, voici un Top 5 des applications classées par nombre de failles de sécurité trouvées :

  1. Chrome : 291 failles
  2. Firefox : 257 failles
  3. iTunes : 243 failles
  4. Flash Player : 67 failles
  5. Java : 66 failles

Dangerosité des failles en hausse, mais réduction du temps de diffusion des patchs

Mais attention car le nombre de failles, s’il est important, ne représente clairement pas tout. D’autres critères entrent en jeu, notamment le TTP ou Time to Patch, autrement dit le temps qu’il faut à un éditeur pour colmater une brèche de sécurité et diffuser une mise à jour. En 2012, le temps moyen était en baisse et 84 % des failles ont vu un correctif arriver dans la journée. Cependant, le type de faille découvert évolue dans le mauvais sens :

 

secunia

 

Comme on peut le voir, la proportion orangée représente hautement critiques et elle est en augmentation très nette dans le Top 50. La catégorie « extrême » est elle aussi en augmentation par rapport à 2011. Conséquence : les failles découvertes ont un potentiel de destruction supérieur en cas d’exploitation.

Un mélange de bonnes et mauvaises nouvelles 

Autre point intéressant : le nombre de failles 0-day découvertes est en chute après des années 2010 et 2011 relativement explosives. Si l’on reste dans le seul Top 50 des applications les plus utilisées, seules huit failles 0-day ont été trouvées. Si on élargit au Top 400, on en trouve 11. Pour Secunia, il s’agit d’une vraie bonne nouvelle, signe que les acteurs impliqués dans la sécurité communiquent mieux et réagissent donc rapidement.

 

secunia

 

Cependant, le Top 50 des applications a présente à lui seul 1137 failles l’année dernière, un chiffre en augmentation de 98 %. Pire, ces failles étaient disséminées dans 18 produits seulement, ce qui représente une moyenne de 63 failles par application.

 

Le conseil de Secunia aux entreprises est donc simple, à savoir moins se focaliser sur les produits Microsoft et faire plus attention à la multitude d’applications tierces présentes sur les machines. La règle d’or est d’ailleurs toujours valable : toute application n’étant pas utile doit être désinstallée. Moins les créations tierces sont nombreuses, plus la surface d’attaque est réduite.

 

Ceux qui le souhaitent pourront lire le rapport de Secunia depuis le site officiel de l’entreprise.

Source : Secunia
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 18/03/2013 à 17:10

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 36 commentaires

Avatar de Lafisk INpactien
Lafisk Le lundi 18 mars 2013 à 17:14:32
Inscrit le dimanche 3 juin 12 - 8039 commentaires
Je m'attendais à voir java en haut du top 5, pas chrome ... comme quoi on peut avoir une excellente renommé et plein de faille
Avatar de GrosPinPin INpactien
GrosPinPin Le lundi 18 mars 2013 à 17:15:45
Inscrit le lundi 22 novembre 10 - 34 commentaires
La plus grosse faille ca reste toujours l'interface chaise clavier
Avatar de AlphaBeta INpactien
AlphaBeta Le lundi 18 mars 2013 à 17:16:02
Inscrit le mardi 18 octobre 05 - 3477 commentaires
3.iTunes : 2432 failles


Je pense que c'est 243... meme si la qualité de iTunes sur PC est largement discutable !

Edité par AlphaBeta le lundi 18 mars 2013 à 17:16
Avatar de jb INpactien
jb Le lundi 18 mars 2013 à 17:17:57
Inscrit le samedi 13 mai 06 - 3742 commentaires
J'aime pas trop Sécunia, (qui font de la mauvaise foi totale dans la gravité des rapports), mais c'est vrai que 2012, on en a vu passer des failles de sécu...
Avatar de AnthoniF INpactien
AnthoniF Le lundi 18 mars 2013 à 17:18:38
Inscrit le vendredi 18 novembre 11 - 501 commentaires
De nos jours un IE fermer est beaucoup plus sécurisant qu'un Firefox open bar !

Il y a 36 commentaires

;