Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Failles de sécurité : une bien mauvaise année 2014

Les applications tierces concernées dans plus de 80 % des cas
Logiciel 4 min
Failles de sécurité : une bien mauvaise année 2014
Crédits : maxkabakov/iStock/Thinkstock

L’année 2014 n’aura pas été un grand cru de la sécurité. Un rapport s’est récemment penché sur les failles de sécurité au sens large afin d’établir plusieurs statistiques intéressantes. Le nombre de vulnérabilités découvertes a ainsi explosé l’année dernière, et 83 % d’entre elles résident dans les applications tierces.

7 038 failles en 2014, contre 4 794 en 2013

L’année dernière aura été éprouvante sur le plan de la sécurité. Très nombreuses failles, suites des révélations d’Edward Snowden, nombreux pirates d’entreprises et institutions, et finalement vols de données personnelles trop fréquents : le bilan n’est pas rose. L’éditeur GFI, spécialisé dans les services et la sécurité pour les entreprises, a publié la semaine dernière un intéressant bilan, montrant d'une part que les failles de sécurité sont souvent là où on les attend, mais d'autre part que les surprises n’épargnent personne et que l’attention ne peut jamais se relâcher.

En creusant dans la National Vulnerability Database du NIST (National Institute of Standards and Technology) américain, GFI a ainsi répertorié un total de 7 038 failles de sécurité pour 2014. C’est nettement plus que les années précédentes puisqu’on comptait respectivement 4 794 et 4 347 failles pour 2013 et 2012.

Un quart de failles de haute sévérité

Sur l’ensemble, presque un quart (24 %) des brèches de sécurité avaient une haute sévérité. Ce chiffre représente une baisse par rapport à 2013, mais attention : c’est essentiellement parce que le nombre de failles graves se retrouve un peu « noyé » dans la base. Il y  a en effet plus de ces vulnérabilités que les trois années précédentes : 1 492 (2011), 1 488 (2012), 1 612 (2013) et 1 705 (2014). La hausse reste cependant plus faible que l’augmentation globale du nombre de failles découvertes.

Mais où trouve-t-on ces failles ? Sans trop de surprise, dans les applications tierces pour l’immense majorité. 83 % d’entre elles se trouvent ainsi dans des logiciels, pilotes, petits utilitaires et autres plugins que l’on installe sur son système d’exploitation, qu’il soit fixe ou mobile. Un constat qui ne change pas et qu’on retrouve notamment dans la volonté de Mozilla de se débarrasser de Flash dans Firefox au moyen d’un composant JavaScript capable de lire ce type de contenu.

Systèmes d'exploitation : Apple mauvais élève

Et qu’en est-il des systèmes d’exploitation ? Les statistiques de GFI sont claires : OS X a été le système le plus vulnérable de l’année, avec 147 brèches répertoriées, dont 64 ayant une haute sévérité. iOS vient ensuite, avec 127 failles, dont 32 graves. Le kernel Linux a pour sa part cumulé 119 failles, dont 24 de haute sévérité. Viennent ensuite les Windows qui, au contraire des trois premiers noms, ne sont pas agrégés, mais répartis selon leurs versions.

failles gfi

Le constat est évident, puisque le nombre de failles est beaucoup moins élevé sur le système de Microsoft que les concurrents nommés. Précisons qu’en dépit de la séparation des chiffres par version, ils ne peuvent pas être cumulés car les failles de Windows sont le plus souvent transversales, en touchant plusieurs moutures d’un coup.

Le rapport de GFI fait cependant l’impasse sur un détail important : la proportion de failles critiques. Si l’on prend le cas de Windows 7 par exemple, 36 failles « seulement » ont été découvertes, mais 25 d’entre elles avaient une haute sévérité, soit presque 70 % du lot. De tous les Windows, c’est la version RT qui récolte le plus gros pourcentage, avec plus de 73,3 %. Pour comparaison, voici les scores pour les autres plateformes abordées.

  • OS X : 43,5 %
  • iOS : 25 %
  • Kernel Linux : 20 %

Reste qu’en nombre brut de failles sévères, les deux systèmes d’Apple font figure de mauvais élèves.

Les navigateurs, Flash et Reader tiennent le haut du podium

Enfin, la liste des vulnérabilités par applications reste essentiellement la même que pour l’année dernière. Sans aucune surprise, ce sont les navigateurs Internet Explorer, Chrome et Firefox qui constituent le trio de tête, suivis par Flash et Java. Un lecteur attentif aux actualités sur la sécurité ne sera pas surpris de ce classement, mais le nombre de failles sévères est encore une information capitale.

L’année aura ainsi été particulièrement mauvaise pour Internet Explorer qui, toutes versions cumulées, a été affecté par 220 brèches de sévérité, soit plus de 90 % des failles détectées. Un score très élevé, mais qui ne se démarque pas tant de certains autres car les failles critiques sont en fait légion dans les applications : 69 % pour Chrome, 49 % pour Firefox, 86 % pour Flash, 49 % pour Java ou encore 84 % pour Adobe Reader.

Si l’année 2014 semble si mauvaise, il faut quand même signaler que les technologies de détection continuent de se renforcer. Chaque éditeur trouve un nombre croissant de failles, et Microsoft a d’ailleurs particulièrement travaillé cet aspect ces dernières années, ce qui pourrait expliquer en partie qu’il y ait peu de failles de basse et moyenne sévérité. Notez en outre que le rapport ne donne que des informations brutes et pas, par exemple, le temps moyen nécessaire à la correction des vulnérabilités.

46 commentaires
Avatar de Maicka INpactien
Avatar de MaickaMaicka- 23/02/15 à 09:41:14

Des brèches a en vomir.

Avatar de Enyths INpactien
Avatar de EnythsEnyths- 23/02/15 à 09:45:20

Vu la cyberguerre qui se joue dans les coulisses en ce moment, ça ne risque pas d'aller en s'arrangeant pour le moment.
 
Un autre point qui aurait été intéressant dans l'étude, c'est les délais de correction de ces failles. Leur exploitation dépend beaucoup de la réactivité des différents acteurs.

Avatar de anonyme_5308cee4763677866e1421efa4474f79 INpactien

Ou alors que les outils de détection se sont bonifiés, surtout que pas mal de ces failles existent depuis plusieurs années (et donc étaient déjà là bien avt 2014).

Avatar de JCDentonMale INpactien
Avatar de JCDentonMaleJCDentonMale- 23/02/15 à 09:53:26

J'ai été un peu étonné par le haut du classement des OS.
Comme quoi, les idées reçues... sont seulement des idées reçues.

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 23/02/15 à 09:55:35

J'aurais tendance à penser que c'est une évolution normale.

Les logiciels ou systèmes concernés sont de plus en plus complexes dans leurs entrailles et donc forcément des failles peuvent y être découvertes.
Adobe Reader est devenu une usine à faire des usines à gaz par exemple...

Ca combiné au fait que la "cyber guerre" comme l'évoque Enythis monte en puissance, la tendance risque difficilement d'aller à la baisse.

Avatar de tiny_naxos INpactien
Avatar de tiny_naxostiny_naxos- 23/02/15 à 10:00:05

iOS est cité mais pas Android ni WP ?

Avatar de FunnyD INpactien
Avatar de FunnyDFunnyD- 23/02/15 à 10:00:55

Crysalide a écrit :

Ou alors que les outils de détection se sont bonifiés, surtout que pas mal de ces failles existent depuis plusieurs années (et donc étaient déjà là bien avt 2014).

D'ailleurs, ca serait intéressant de connaitre "l'age moyen" de ces failles.

Avatar de stratic Abonné
Avatar de straticstratic- 23/02/15 à 10:06:57

JCDentonMale a écrit :

Comme quoi, les idées reçues... sont seulement des idées reçues.

Ce qui compte, ce n'est pas le nombre de brèches découvertes. C'est le temps total pendant lequel ces brèches restent ouvertes. Une brèche qui est corrigée avant d'avoir était rendue publique est par exemple pratiquement sans danger. Ce que ne montrent pas du tout ces chiffres brutes qui ne permettent pas d'évaluer un risque.

A côté de ça, il y aussi la communication. Comme c'est étrange, Windows n'aurait aucune petite vulnérabilité. La réalité est tout autre. La réalité c'est surtout que Microsoft, ou Apple, ne communiquent pas spontanément, il faut que ce soit déjà rendu public par un tiers pour que les langues commencent à se délier. A l'opposé, la communauté Linux communique aussitôt sur l'existence d'une vulnérabilité. C'est surtout ça qui explique la grande disparité des chiffes, plus qu'une différence en terme de sécurité. 

Avatar de js2082 INpactien
Avatar de js2082js2082- 23/02/15 à 10:08:49

JCDentonMale a écrit :

J'ai été un peu étonné par le haut du classement des OS.
Comme quoi, les idées reçues... sont seulement des idées reçues.

Ben en même temps, les windows sont suivis depuis des années, sont très répandus et font l'objet de beaucoup de contrôles.

A force, les failles et leur détection diminuent obligatoirement.
 

tiny_naxos a écrit :

iOS est cité mais pas Android ni WP ?

Android est hors concours: c'est une faille à lui tout seul...

:transpi:

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 23/02/15 à 10:14:24

Plus de failles que dans Dragon Age Inquisition :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 5