Le monde de la sécurité est en constante évolution et les menaces ne se situent pas toujours où on le croit. Le dernier rapport du très connu Secunia, qui surveille l’activité sur la sécurité informatique, est sans appel : sur la plateforme Windows, l’écrasante majorité des failles de sécurité n’est plus dans les produits Microsoft. Les entreprises vont devoir s’adapter.
Secunia a publié un nouveau rapport de sécurité sur l’ensemble de 2012 pour la plateforme Windows. Il s’agit traditionnellement du système le plus examiné car le plus utilisé. En environnement d’entreprise, le suivi des failles va de pair avec la gestion du parc informatique : plus celui-ci est grand, plus il y a de chances que l’entreprise bénéficie d’une prise en charge spécifique des mises à jour suivant les cycles de diffusion. Chez Microsoft, il existe d’ailleurs un produit, WSUS (Windows Server Update Services). Cependant, avec les années la firme de Redmond a nettement révisé ses méthodes de développement, et les risques majeurs ont glissé vers d’autres produits.
Pas loin de 10 000 failles recensées en 2012
Selon Secunia, ce ne sont pas moins de 9776 failles qui ont été détectées en 2012 sur 2503 applications. L’entreprise a isolé les 50 plus populaires et en a déterminé un chiffre important : 86 % des failles ne sont pas situées dans les produits Microsoft. Il s’agit d’une augmentation plus que significative vis-à-vis de 2011 puisque ce chiffre était de 78 %. Il y a cinq ans, il n’était même que de 57 %.
Qu’est-ce que cela signifie dans la pratique ? Plusieurs éléments importants à prendre en compte. D’une part, les yeux doivent moins regarder les produits Microsoft et davantage la multitude d’applications tierces. Chacune peut être le vecteur d’une faille et il en suffit d’une seule pour permettre une exploitation qui torpillera toute la sécurité de l’entreprise. D’autre part, la vision de la sécurité par l’entreprise justement doit évoluer pour prendre en compte un nombre de paramètres malheureusement beaucoup plus important.
Les produits Microsoft ne sont plus à surveiller en priorité
Il est en effet délicat de faire le compte de l’intégralité des éléments en jeu. Mais il ne sert à rien de blinder les défenses d’un parc sur les produits Microsoft tels que Windows et Office, d’installer des pare-feux ainsi que des antivirus si c’est par exemple pour ne jamais contrôler les mises à jour du plug-in Flash dans Internet Explorer ou Firefox. Il existe autant de portes d’entrée que d’applications, certaines en contenant même des centaines qui attendent d’être découvertes.
Et « centaines » n’est en fait pas un mot exagéré. Sur l’année 2012, voici un Top 5 des applications classées par nombre de failles de sécurité trouvées :
- Chrome : 291 failles
- Firefox : 257 failles
- iTunes : 243 failles
- Flash Player : 67 failles
- Java : 66 failles
Dangerosité des failles en hausse, mais réduction du temps de diffusion des patchs
Mais attention car le nombre de failles, s’il est important, ne représente clairement pas tout. D’autres critères entrent en jeu, notamment le TTP ou Time to Patch, autrement dit le temps qu’il faut à un éditeur pour colmater une brèche de sécurité et diffuser une mise à jour. En 2012, le temps moyen était en baisse et 84 % des failles ont vu un correctif arriver dans la journée. Cependant, le type de faille découvert évolue dans le mauvais sens :
Comme on peut le voir, la proportion orangée représente hautement critiques et elle est en augmentation très nette dans le Top 50. La catégorie « extrême » est elle aussi en augmentation par rapport à 2011. Conséquence : les failles découvertes ont un potentiel de destruction supérieur en cas d’exploitation.
Un mélange de bonnes et mauvaises nouvelles
Autre point intéressant : le nombre de failles 0-day découvertes est en chute après des années 2010 et 2011 relativement explosives. Si l’on reste dans le seul Top 50 des applications les plus utilisées, seules huit failles 0-day ont été trouvées. Si on élargit au Top 400, on en trouve 11. Pour Secunia, il s’agit d’une vraie bonne nouvelle, signe que les acteurs impliqués dans la sécurité communiquent mieux et réagissent donc rapidement.
Cependant, le Top 50 des applications a présente à lui seul 1137 failles l’année dernière, un chiffre en augmentation de 98 %. Pire, ces failles étaient disséminées dans 18 produits seulement, ce qui représente une moyenne de 63 failles par application.
Le conseil de Secunia aux entreprises est donc simple, à savoir moins se focaliser sur les produits Microsoft et faire plus attention à la multitude d’applications tierces présentes sur les machines. La règle d’or est d’ailleurs toujours valable : toute application n’étant pas utile doit être désinstallée. Moins les créations tierces sont nombreuses, plus la surface d’attaque est réduite.
Ceux qui le souhaitent pourront lire le rapport de Secunia depuis le site officiel de l’entreprise.
