Failles de sécurité : une bien mauvaise année 2014

Failles de sécurité : une bien mauvaise année 2014

Les applications tierces concernées dans plus de 80 % des cas

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

23/02/2015 5 minutes
46

Failles de sécurité : une bien mauvaise année 2014

L’année 2014 n’aura pas été un grand cru de la sécurité. Un rapport s’est récemment penché sur les failles de sécurité au sens large afin d’établir plusieurs statistiques intéressantes. Le nombre de vulnérabilités découvertes a ainsi explosé l’année dernière, et 83 % d’entre elles résident dans les applications tierces.

7 038 failles en 2014, contre 4 794 en 2013

L’année dernière aura été éprouvante sur le plan de la sécurité. Très nombreuses failles, suites des révélations d’Edward Snowden, nombreux pirates d’entreprises et institutions, et finalement vols de données personnelles trop fréquents : le bilan n’est pas rose. L’éditeur GFI, spécialisé dans les services et la sécurité pour les entreprises, a publié la semaine dernière un intéressant bilan, montrant d'une part que les failles de sécurité sont souvent là où on les attend, mais d'autre part que les surprises n’épargnent personne et que l’attention ne peut jamais se relâcher.

En creusant dans la National Vulnerability Database du NIST (National Institute of Standards and Technology) américain, GFI a ainsi répertorié un total de 7 038 failles de sécurité pour 2014. C’est nettement plus que les années précédentes puisqu’on comptait respectivement 4 794 et 4 347 failles pour 2013 et 2012.

Un quart de failles de haute sévérité

Sur l’ensemble, presque un quart (24 %) des brèches de sécurité avaient une haute sévérité. Ce chiffre représente une baisse par rapport à 2013, mais attention : c’est essentiellement parce que le nombre de failles graves se retrouve un peu « noyé » dans la base. Il y  a en effet plus de ces vulnérabilités que les trois années précédentes : 1 492 (2011), 1 488 (2012), 1 612 (2013) et 1 705 (2014). La hausse reste cependant plus faible que l’augmentation globale du nombre de failles découvertes.

Mais où trouve-t-on ces failles ? Sans trop de surprise, dans les applications tierces pour l’immense majorité. 83 % d’entre elles se trouvent ainsi dans des logiciels, pilotes, petits utilitaires et autres plugins que l’on installe sur son système d’exploitation, qu’il soit fixe ou mobile. Un constat qui ne change pas et qu’on retrouve notamment dans la volonté de Mozilla de se débarrasser de Flash dans Firefox au moyen d’un composant JavaScript capable de lire ce type de contenu.

Systèmes d'exploitation : Apple mauvais élève

Et qu’en est-il des systèmes d’exploitation ? Les statistiques de GFI sont claires : OS X a été le système le plus vulnérable de l’année, avec 147 brèches répertoriées, dont 64 ayant une haute sévérité. iOS vient ensuite, avec 127 failles, dont 32 graves. Le kernel Linux a pour sa part cumulé 119 failles, dont 24 de haute sévérité. Viennent ensuite les Windows qui, au contraire des trois premiers noms, ne sont pas agrégés, mais répartis selon leurs versions.

failles gfi

Le constat est évident, puisque le nombre de failles est beaucoup moins élevé sur le système de Microsoft que les concurrents nommés. Précisons qu’en dépit de la séparation des chiffres par version, ils ne peuvent pas être cumulés car les failles de Windows sont le plus souvent transversales, en touchant plusieurs moutures d’un coup.

Le rapport de GFI fait cependant l’impasse sur un détail important : la proportion de failles critiques. Si l’on prend le cas de Windows 7 par exemple, 36 failles « seulement » ont été découvertes, mais 25 d’entre elles avaient une haute sévérité, soit presque 70 % du lot. De tous les Windows, c’est la version RT qui récolte le plus gros pourcentage, avec plus de 73,3 %. Pour comparaison, voici les scores pour les autres plateformes abordées.

  • OS X : 43,5 %
  • iOS : 25 %
  • Kernel Linux : 20 %

Reste qu’en nombre brut de failles sévères, les deux systèmes d’Apple font figure de mauvais élèves.

Les navigateurs, Flash et Reader tiennent le haut du podium

Enfin, la liste des vulnérabilités par applications reste essentiellement la même que pour l’année dernière. Sans aucune surprise, ce sont les navigateurs Internet Explorer, Chrome et Firefox qui constituent le trio de tête, suivis par Flash et Java. Un lecteur attentif aux actualités sur la sécurité ne sera pas surpris de ce classement, mais le nombre de failles sévères est encore une information capitale.

L’année aura ainsi été particulièrement mauvaise pour Internet Explorer qui, toutes versions cumulées, a été affecté par 220 brèches de sévérité, soit plus de 90 % des failles détectées. Un score très élevé, mais qui ne se démarque pas tant de certains autres car les failles critiques sont en fait légion dans les applications : 69 % pour Chrome, 49 % pour Firefox, 86 % pour Flash, 49 % pour Java ou encore 84 % pour Adobe Reader.

Si l’année 2014 semble si mauvaise, il faut quand même signaler que les technologies de détection continuent de se renforcer. Chaque éditeur trouve un nombre croissant de failles, et Microsoft a d’ailleurs particulièrement travaillé cet aspect ces dernières années, ce qui pourrait expliquer en partie qu’il y ait peu de failles de basse et moyenne sévérité. Notez en outre que le rapport ne donne que des informations brutes et pas, par exemple, le temps moyen nécessaire à la correction des vulnérabilités.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

7 038 failles en 2014, contre 4 794 en 2013

Un quart de failles de haute sévérité

Systèmes d'exploitation : Apple mauvais élève

Les navigateurs, Flash et Reader tiennent le haut du podium

Commentaires (46)


Des brèches a en vomir.


Vu la cyberguerre qui se joue dans les coulisses en ce moment, ça ne risque pas d’aller en s’arrangeant pour le moment.

 

Un autre point qui aurait été intéressant dans l’étude, c’est les délais de correction de ces failles. Leur exploitation dépend beaucoup de la réactivité des différents acteurs.


Ou alors que les outils de détection se sont bonifiés, surtout que pas mal de ces failles existent depuis plusieurs années (et donc étaient déjà là bien avt 2014).


J’ai été un peu étonné par le haut du classement des OS.

Comme quoi, les idées reçues… sont seulement des idées reçues.


J’aurais tendance à penser que c’est une évolution normale.



Les logiciels ou systèmes concernés sont de plus en plus complexes dans leurs entrailles et donc forcément des failles peuvent y être découvertes.

Adobe Reader est devenu une usine à faire des usines à gaz par exemple…



Ca combiné au fait que la “cyber guerre” comme l’évoque Enythis monte en puissance, la tendance risque difficilement d’aller à la baisse.


iOS est cité mais pas Android ni WP ?








Crysalide a écrit :



Ou alors que les outils de détection se sont bonifiés, surtout que pas mal de ces failles existent depuis plusieurs années (et donc étaient déjà là bien avt 2014).





D’ailleurs, ca serait intéressant de connaitre “l’age moyen” de ces failles.









JCDentonMale a écrit :



Comme quoi, les idées reçues… sont seulement des idées reçues.





Ce qui compte, ce n’est pas le nombre de brèches découvertes. C’est le temps total pendant lequel ces brèches restent ouvertes. Une brèche qui est corrigée avant d’avoir était rendue publique est par exemple pratiquement sans danger. Ce que ne montrent pas du tout ces chiffres brutes qui ne permettent pas d’évaluer un risque.



A côté de ça, il y aussi la communication. Comme c’est étrange, Windows n’aurait aucune petite vulnérabilité. La réalité est tout autre. La réalité c’est surtout que Microsoft, ou Apple, ne communiquent pas spontanément, il faut que ce soit déjà rendu public par un tiers pour que les langues commencent à se délier. A l’opposé, la communauté Linux communique aussitôt sur l’existence d’une vulnérabilité. C’est surtout ça qui explique la grande disparité des chiffes, plus qu’une différence en terme de sécurité. 









JCDentonMale a écrit :



J’ai été un peu étonné par le haut du classement des OS.

Comme quoi, les idées reçues… sont seulement des idées reçues.





Ben en même temps, les windows sont suivis depuis des années, sont très répandus et font l’objet de beaucoup de contrôles.



A force, les failles et leur détection diminuent obligatoirement.

 





tiny_naxos a écrit :



iOS est cité mais pas Android ni WP ?





Android est hors concours: c’est une faille à lui tout seul…



<img data-src=" />



Plus de failles que dans Dragon Age Inquisition <img data-src=" />


Quand on parle d’usine a gaz pour Adobe (ils ne sont clairement as les seuls…), je pense que le fond du problème vient de la complexité non nécessaire et des strates de codes qui sont rarement reprises.



Après les problèmes de marketing, il y a la formation des codeurs et le temps qu’on leur alloue pour faire le taf. De ce côté là les black bat officieux ou officiels ont de meilleures conditions de travail.

&nbsp;

&nbsp;Vu que ces problèmes n’ont aucune chance de se résorber en 2015, je pense qu’on va encore péter les scores cette année.


Avant que les trolls de tous poils ne se lancent dans des analyses de comptoir, faut-il préciser que le nombre de failles à lui tout seul ne dit pas grand chose sur la sécurité. Il faudrait connaître :





  • la criticité des failles (comme dit dans l’article, la proportion de failles critiques est important)



  • la fenêtre de vulnérabilité = le temps entre la découverte de la faille et son patch. En gros une faille critique dont le patch est déployé en 2 jours sera moins grave pour la sécurité qu’une faille moyenne qui mettra des mois avant d’être patchée.



  • le nombre de malwares qui exploitent effectivement ces failles.


Je suis le seul à lire l’article de facon complétement positive ?

On parle de mauvaise année je vois plutôt une très bonne année, on recrute de plus en plus d’experts dans ces domaines pour combler les failles (attention étudiants de tous poils d’ici 5 ans le domaine sera bouché <img data-src=" />).

Je pense que d’ici quelques années le nombres finira par décroitre quand on aura corrigé tout l’historique et qu’il ne restera plus que celles passées dans les filets des QA devenus obligatoires (ce qui n’était pas vrai il y a encore peu)


Qui a donné ces chiffres ? Qui est aller chercher les failles et les ont reportées ?

Bon, admettons que ces chiffres sont fiables, cela ne m’étonne pas que Windows soit l’un des noyaux les plus fiables. Etant l’OS subissant le plus d’attaque, il est normal que les failles soient pour la plupart corrigé. De plus, le code de Windows serait bien écrit (http://www.kuro5hin.org/story/2004/2/15/71552/7795 ).








js2082 a écrit :



Android est hors concours: c’est une faille à lui tout seul…







Oui, 90% des malwares pour smartphone ciblent Android, un chiffre qui peut faire peur. Et pourtant…



Nombre d’appareils Android infectés (2013-2014) : 16 millions.

Taux d’infection : 0,68%.

Source: Alcatel-Lucent



Ça fait un peu moins peur déjà… La plupart des infections proviennent de stores alternatifs, qui fournissent des applications non vérifiées (et qui peuvent donc être infectées).



À titre de comparaison :



Taux d’infection des ordinateurs sous Windows 7 : 2,59% (Windows XP : 2,42%)

Source



Pourtant, d’après Snowden, 100% des smartphones sont piratés.



Après, faut aussi voir ce qu’ils appellent infection.

Parce que quand je vois, sur le store officiels, des applis genre lampe torche qui te demandent d’accéder à tous tes contacts, sms, photos, vidéos, gps… , je me dis que là j’ai affaire à un malware.



Et ça doit bien représenter 50% des applis android ce phénomène.








SebGF a écrit :



J’aurais tendance à penser que c’est une évolution normale.



Les logiciels ou systèmes concernés sont de plus en plus complexes dans leurs entrailles et donc forcément des failles peuvent y être découvertes.

Adobe Reader est devenu une usine à faire des usines à gaz par exemple…



Ca combiné au fait que la “cyber guerre” comme l’évoque Enythis monte en puissance, la tendance risque difficilement d’aller à la baisse.







c’est un tout a mon avis:



1- les OS sont plus “complexes”, donc le risque de laisser passer des failles augmente

2- la “cyber-guerre” en cours mene a plus d’analyse et de meilleurs outils de detection



on peut au moins voir un avantage au point N°2, c’est que les outils de detections s’ameliorent, d’autant qu’il s’agit de detection de failles qui existent parfois depuis des années…..





Le constat est évident, puisque le nombre de failles est beaucoup moins

élevé sur le système de Microsoft que les concurrents nommés





38+36+38+36+36+34+30 = 248 failles sur le système de Microsoft


la news explique que le calcul ne peut pas être fait comme ça car des failles sont transverses.








geekounet85 a écrit :



la news explique que le calcul ne peut pas être fait comme ça car des failles sont transverses.





Des failles transversales&nbsp;<img data-src=" />

Pourquoi pas des failles perpendiculaires <img data-src=" />









pentest a écrit :



38+36+38+36+36+34+30 = 248 failles sur le système de Microsoft





Le constat est évident, puisque le nombre de failles est beaucoup moins élevé sur le système de Microsoft que les concurrents nommés. Précisons qu’en dépit de la séparation des chiffres par version, ils ne peuvent pas être cumulés car les failles de Windows sont le plus souvent transversales, en touchant plusieurs moutures d’un coup.&nbsp;



&nbsp;Faut lire l’article ;) &nbsp;

&nbsp;





Un lecteur attentif aux actualités sur la sécurité ne sera pas surpris de ce classement





Je peux avoir quelques liens ? Je ne suis pas assidu aux actualités sur la sécurité.


ok donc c’est toi: tu ne sais pas lire. <img data-src=" />








pentest a écrit :



Des failles transversales&nbsp;<img data-src=" />



Pourquoi pas des failles perpendiculaires <img data-src=">







&nbsp;<img data-src=" />&nbsp;<img data-src=" />



Une faille qui touche un élément commun&nbsp;à toutes les versions de Windows ne peut pas être compté plusieurs fois si on veut additionner les failles de chaque version, c’est purement logique :/ Et il a de fortes chances que la majorité des failles&nbsp;de Vista/7/8 soient communes vu la proximité de ces 3 OS. A mon avis, le fait que ce soit noté 36 pour 7/8/8.1 n’est pas une coïncidence..



Si la faille touche plusieurs versions de l’OS. &nbsp;Elle est donc comptée plusieurs fois, du coup une simple addition du nombre de faille de chaque version est un non sens total. &nbsp;



&nbsp;


Pourtant, hier, je lisais un article décrivant le système d’Apple (OSX) comme étant le plus secure desormais ….<img data-src=" />



Faut que je le retrouve et jle poste xD


Je ne suis pas sûr qu’on puisse dire que c’est une mauvaise année. Question de point de vue sans doute.

Aurait-il mieux valu que toutes ces failles ne soient pas découvertes, pour pondre de belles statistiques bidons ? Parce que des failles, il y en aura toujours. Des correctifs, c’est moins sûr.








js2082 a écrit :



Pourtant, d’après Snowden, 100% des smartphones sont piratés.



Après, faut aussi voir ce qu’ils appellent infection.







Quand on parle d’«infection», on parle généralement de malwares qui vont permettre de te nuire directement et de façon active : suppression inopinée de tes données, vol de ton n° de carte bleue pour te voler ton argent, appels vers des n° surtaxés (dans le cas des malwares Android), etc.



Les malwares outils de surveillance ( <img data-src=" /> ) utilisés par les agences gouvernementales ont des buts bien différents, à savoir plutôt exploiter tes données personnelles (et les méta-données associées) plutôt que voler ton argent. Cela ne les rend pas légitimes ni même légaux (le droit à la vie privée est garanti par les Droits de l’Homme, et pourtant violé par ces agences gouvernementales), mais ça ne rentre pas dans le cadre des «infections».









js2082 a écrit :



Parce que quand je vois, sur le store officiels, des applis genre lampe torche qui te demandent d’accéder à tous tes contacts, sms, photos, vidéos, gps… , je me dis que là j’ai affaire à un malware.







La plupart du temps ces autorisations ne sont pas demandées par l’appli en elle-même, mais par… la publicité intégrée. Ben oui, quand une appli est gratuite elle embarque de la pub, et pour que la pub Google soit efficace et ciblée… il faut que Google sache à qui il a affaire, d’où l’accès à ces données.



Ces autorisations définissent aussi les droits accordés par la sandbox, et parfois les applis demandent davantage de droits qu’elles n’en ont réellement besoin car c’est plus simple. Mais je suis d’accord, la plupart des applis demandent beaucoup trop, et ça ne peut pas être bon pour la sécurité.



Mais si ça peut te rassurer, la plupart des malwares Android ne viennent pas du store de Google, ils viennent de stores alternatifs où les gens installent des applis non vérifiées. La plupart de ces malwares fonctionnent en appelant un numéro surtaxé. Android 4.4 et supérieur embarquent des mécanismes pour prévenir l’utilisateur quand une application appelle un numéro, ce qui invalide complètement le mode de fonctionnement de ces malwares.









Konrad a écrit :



À titre de comparaison :



Taux d’infection des ordinateurs sous Windows 7 : 2,59% (Windows XP : 2,42%)

Source







Je me cite moi-même pour donner une autre source :



Selon Microsoft, en 2013 le taux d’infection de PC Windows dans le monde était de 17,8 pour mille (soit 1,78%), sachant que cette statistique ne couvre que les PC équipés de Microsoft Security Essential.



En bref, il semble qu’environ 2% (±0,5) des PC sous Windows dans le monde sont infectés.









Maicka a écrit :



Des brèches a en vomir.





Contrepèterie ? (si oui je trouve pas, sinon je vois pas l’intérêt de la tournure)



Non pas forcément. Car comme le dit l’article :





Précisons qu’en dépit de la séparation des chiffres par version, ils ne

peuvent pas être cumulés car les failles de Windows sont le plus souvent

transversales, en touchant plusieurs moutures d’un coup.





Mais bien essayé.


J’aime beaucoup la colonne high vulnerabilities.

Je crois qu’il y a des progrès à faire concernant les moyennes et faibles vulnérabilités.

Puis Windows qui a zéro failles faibles m’épate.








Winderly a écrit :



Puis Windows qui a zéro failles faibles m’épate.





C’est juste que Windows est tellement mal conçu que la moindre faille est forcément critique. <img data-src=" />









CrowTown a écrit :



comme d’hab tu mélanges choux et carotte, et raconte n’importe quoi pour justifier des inepties hein



Sur PC les gens sont pour la plupart connectés aux nets et surfer est bien leur activité principale!

Sur Android, la plupart des gens dans le monde s’en servent d’abord pour téléphoner, la proportion de gens qui vont sur le Store ou sur le web est relativement faible, et moi j’ai vu d’autres chiffres que les tiens, à près de 80 millions d’Android infectés si je me souviens bien en plus…







Mais oui, et toi qui sors des chiffres de ton chapeau en disant “je crois bien”, c’est plus fiable qu’une étude d’Alcatel-Lucent, et tu ne racontes pas d’inepties…



Tain mais t’as vraiment aucune crédibilité mon pauvre vieux… <img data-src=" />









CrowTown a écrit :



excuse-moi si à chaque fois que tu tiens une étude qui t’arrange, je refouille pas le web entier pour trouver les dizaines d’autres que j’ai croisé sur x mois, et qui étaient toutes beaucoup moins optimistes que la tienne…







Ah oui la défense imparable : moi je ne vais pas donner mes sources parce que j’ai la science infuse, par contre les autres quand ils donnent des sources, c’est de la merde.



Tu es toujours incapable de la moindre objectivité, incapable de tenir un raisonnement logique, et incapable de donner des sources sérieuses. Quand tu n’es pas d’accord avec les autres tu les insultes. Quand tu auras dépassé le stade de l’argumentation CP à base de «c’est pas moi c’est lui», on pourra peut-être t’apprendre quelque chose.



En attendant continue de faire la pub de Microsoft, je suis sûr que tu gagnes bien ta vie grâce à ça <img data-src=" />









CrowTown a écrit :



j’ai pas dit que ta source c’était de la merde non plus, juste que l’analyse qu’elle fait est discutable comme toujours, et n’est pas la même que bien d’autres, encore une fois apprend à lire, on peut être Alcatel et se tromper hein, ou alors ils ont raison contre tout le monde va savoir!







Ouais mais ce que toi tu ne comprends pas, c’est que juste dire «ils peuvent se tromper», ce n’est pas un argument, ça ne démontre rien du tout. Si tu me cites une étude, là je la prendrai en compte, en attendant tout ce que tu fais c’est blablater sans rien argumenter.









CrowTown a écrit :



non ce qui ne va pas dans ton argumentation c’est cette façon que tu as de dire que Android est safe en fait, alors que c’est de toute façon la pire cata possible du secteur smartphone, t’étais beaucoup moins tolérant bizarrement quand tu bavais comme une truie contre Windows PC hein <img data-src=" />







Je n’ai jamais dit qu’Android était safe (toi aussi apprends à lire…).



C’est juste que quand on dit «90% des malwares sur smartphone citent Android», ça paraît alarmant comme chiffre, mais il ne faut pas en tirer la mauvaise conclusion : ça ne veut pas dire que 90% des téléphones Android sont infectés…



Ça ne veut pas dire non plus qu’il est facile d’être infecté sous Android. Comme je le disais plus haut, ces malwares arrivent sur le smartphone avec des applications non vérifiées, qui ne proviennent pas du store de Google : ce sont des gens qui ont ajouté des stores alternatifs, non officiels, ou alors qui ont téléchargé des .apk non vérifiés, et qui se retrouvent avec ce genre de malware.



Par ailleurs, puisque la plupart de ces malwares fonctionnent en téléphonant sur des numéros surtaxés, Google a introduit des mesures de prévention supplémentaires dans les versions récentes d’Android (à partir de 4.4), et vérifie bien plus les applications de son store que tu ne le dis. Le système de sandbox a aussi été revu dans les versions récentes d’Android.



Bref, Android est loin d’être parfait, il a aussi ses défauts de sécurisation et ses malwares, on ne peut pas le nier. Mais dire que Google ne fait rien et qu’Android est une passoire, c’est très loin de la vérité…