L’année 2014 n’aura pas été un grand cru de la sécurité. Un rapport s’est récemment penché sur les failles de sécurité au sens large afin d’établir plusieurs statistiques intéressantes. Le nombre de vulnérabilités découvertes a ainsi explosé l’année dernière, et 83 % d’entre elles résident dans les applications tierces.
7 038 failles en 2014, contre 4 794 en 2013
L’année dernière aura été éprouvante sur le plan de la sécurité. Très nombreuses failles, suites des révélations d’Edward Snowden, nombreux pirates d’entreprises et institutions, et finalement vols de données personnelles trop fréquents : le bilan n’est pas rose. L’éditeur GFI, spécialisé dans les services et la sécurité pour les entreprises, a publié la semaine dernière un intéressant bilan, montrant d'une part que les failles de sécurité sont souvent là où on les attend, mais d'autre part que les surprises n’épargnent personne et que l’attention ne peut jamais se relâcher.
En creusant dans la National Vulnerability Database du NIST (National Institute of Standards and Technology) américain, GFI a ainsi répertorié un total de 7 038 failles de sécurité pour 2014. C’est nettement plus que les années précédentes puisqu’on comptait respectivement 4 794 et 4 347 failles pour 2013 et 2012.
Un quart de failles de haute sévérité
Sur l’ensemble, presque un quart (24 %) des brèches de sécurité avaient une haute sévérité. Ce chiffre représente une baisse par rapport à 2013, mais attention : c’est essentiellement parce que le nombre de failles graves se retrouve un peu « noyé » dans la base. Il y a en effet plus de ces vulnérabilités que les trois années précédentes : 1 492 (2011), 1 488 (2012), 1 612 (2013) et 1 705 (2014). La hausse reste cependant plus faible que l’augmentation globale du nombre de failles découvertes.
Mais où trouve-t-on ces failles ? Sans trop de surprise, dans les applications tierces pour l’immense majorité. 83 % d’entre elles se trouvent ainsi dans des logiciels, pilotes, petits utilitaires et autres plugins que l’on installe sur son système d’exploitation, qu’il soit fixe ou mobile. Un constat qui ne change pas et qu’on retrouve notamment dans la volonté de Mozilla de se débarrasser de Flash dans Firefox au moyen d’un composant JavaScript capable de lire ce type de contenu.
Systèmes d'exploitation : Apple mauvais élève
Et qu’en est-il des systèmes d’exploitation ? Les statistiques de GFI sont claires : OS X a été le système le plus vulnérable de l’année, avec 147 brèches répertoriées, dont 64 ayant une haute sévérité. iOS vient ensuite, avec 127 failles, dont 32 graves. Le kernel Linux a pour sa part cumulé 119 failles, dont 24 de haute sévérité. Viennent ensuite les Windows qui, au contraire des trois premiers noms, ne sont pas agrégés, mais répartis selon leurs versions.
Le constat est évident, puisque le nombre de failles est beaucoup moins élevé sur le système de Microsoft que les concurrents nommés. Précisons qu’en dépit de la séparation des chiffres par version, ils ne peuvent pas être cumulés car les failles de Windows sont le plus souvent transversales, en touchant plusieurs moutures d’un coup.
Le rapport de GFI fait cependant l’impasse sur un détail important : la proportion de failles critiques. Si l’on prend le cas de Windows 7 par exemple, 36 failles « seulement » ont été découvertes, mais 25 d’entre elles avaient une haute sévérité, soit presque 70 % du lot. De tous les Windows, c’est la version RT qui récolte le plus gros pourcentage, avec plus de 73,3 %. Pour comparaison, voici les scores pour les autres plateformes abordées.
- OS X : 43,5 %
- iOS : 25 %
- Kernel Linux : 20 %
Reste qu’en nombre brut de failles sévères, les deux systèmes d’Apple font figure de mauvais élèves.
Les navigateurs, Flash et Reader tiennent le haut du podium
Enfin, la liste des vulnérabilités par applications reste essentiellement la même que pour l’année dernière. Sans aucune surprise, ce sont les navigateurs Internet Explorer, Chrome et Firefox qui constituent le trio de tête, suivis par Flash et Java. Un lecteur attentif aux actualités sur la sécurité ne sera pas surpris de ce classement, mais le nombre de failles sévères est encore une information capitale.
L’année aura ainsi été particulièrement mauvaise pour Internet Explorer qui, toutes versions cumulées, a été affecté par 220 brèches de sévérité, soit plus de 90 % des failles détectées. Un score très élevé, mais qui ne se démarque pas tant de certains autres car les failles critiques sont en fait légion dans les applications : 69 % pour Chrome, 49 % pour Firefox, 86 % pour Flash, 49 % pour Java ou encore 84 % pour Adobe Reader.
Si l’année 2014 semble si mauvaise, il faut quand même signaler que les technologies de détection continuent de se renforcer. Chaque éditeur trouve un nombre croissant de failles, et Microsoft a d’ailleurs particulièrement travaillé cet aspect ces dernières années, ce qui pourrait expliquer en partie qu’il y ait peu de failles de basse et moyenne sévérité. Notez en outre que le rapport ne donne que des informations brutes et pas, par exemple, le temps moyen nécessaire à la correction des vulnérabilités.