Secunia : vérifiez vos logiciels tiers et moins les produits Microsoft

Secunia : vérifiez vos logiciels tiers et moins les produits Microsoft

Translation de failles

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

18/03/2013 5 minutes
36

Secunia : vérifiez vos logiciels tiers et moins les produits Microsoft

Le monde de la sécurité est en constante évolution et les menaces ne se situent pas toujours où on le croit. Le dernier rapport du très connu Secunia, qui surveille l’activité sur la sécurité informatique, est sans appel : sur la plateforme Windows, l’écrasante majorité des failles de sécurité n’est plus dans les produits Microsoft. Les entreprises vont devoir s’adapter.

Secunia a publié un nouveau rapport de sécurité sur l’ensemble de 2012 pour la plateforme Windows. Il s’agit traditionnellement du système le plus examiné car le plus utilisé. En environnement d’entreprise, le suivi des failles va de pair avec la gestion du parc informatique : plus celui-ci est grand, plus il y a de chances que l’entreprise bénéficie d’une prise en charge spécifique des mises à jour suivant les cycles de diffusion. Chez Microsoft, il existe d’ailleurs un produit, WSUS (Windows Server Update Services). Cependant, avec les années la firme de Redmond a nettement révisé ses méthodes de développement, et les risques majeurs ont glissé vers d’autres produits.

Pas loin de 10 000 failles recensées en 2012 

Selon Secunia, ce ne sont pas moins de 9776 failles qui ont été détectées en 2012 sur 2503 applications. L’entreprise a isolé les 50 plus populaires et en a déterminé un chiffre important : 86 % des failles ne sont pas situées dans les produits Microsoft. Il s’agit d’une augmentation plus que significative vis-à-vis de 2011 puisque ce chiffre était de 78 %. Il y a cinq ans, il n’était même que de 57 %.

 

secunia

 

Qu’est-ce que cela signifie dans la pratique ? Plusieurs éléments importants à prendre en compte. D’une part, les yeux doivent moins regarder les produits Microsoft et davantage la multitude d’applications tierces. Chacune peut être le vecteur d’une faille et il en suffit d’une seule pour permettre une exploitation qui torpillera toute la sécurité de l’entreprise. D’autre part, la vision de la sécurité par l’entreprise justement doit évoluer pour prendre en compte un nombre de paramètres malheureusement beaucoup plus important.

Les produits Microsoft ne sont plus à surveiller en priorité 

Il est en effet délicat de faire le compte de l’intégralité des éléments en jeu. Mais il ne sert à rien de blinder les défenses d’un parc sur les produits Microsoft tels que Windows et Office, d’installer des pare-feux ainsi que des antivirus si c’est par exemple pour ne jamais contrôler les mises à jour du plug-in Flash dans Internet Explorer ou Firefox. Il existe autant de portes d’entrée que d’applications, certaines en contenant même des centaines qui attendent d’être découvertes.

 

Et « centaines » n’est en fait pas un mot exagéré. Sur l’année 2012, voici un Top 5 des applications classées par nombre de failles de sécurité trouvées :

  1. Chrome : 291 failles
  2. Firefox : 257 failles
  3. iTunes : 243 failles
  4. Flash Player : 67 failles
  5. Java : 66 failles

Dangerosité des failles en hausse, mais réduction du temps de diffusion des patchs

Mais attention car le nombre de failles, s’il est important, ne représente clairement pas tout. D’autres critères entrent en jeu, notamment le TTP ou Time to Patch, autrement dit le temps qu’il faut à un éditeur pour colmater une brèche de sécurité et diffuser une mise à jour. En 2012, le temps moyen était en baisse et 84 % des failles ont vu un correctif arriver dans la journée. Cependant, le type de faille découvert évolue dans le mauvais sens :

 

secunia

 

Comme on peut le voir, la proportion orangée représente hautement critiques et elle est en augmentation très nette dans le Top 50. La catégorie « extrême » est elle aussi en augmentation par rapport à 2011. Conséquence : les failles découvertes ont un potentiel de destruction supérieur en cas d’exploitation.

Un mélange de bonnes et mauvaises nouvelles 

Autre point intéressant : le nombre de failles 0-day découvertes est en chute après des années 2010 et 2011 relativement explosives. Si l’on reste dans le seul Top 50 des applications les plus utilisées, seules huit failles 0-day ont été trouvées. Si on élargit au Top 400, on en trouve 11. Pour Secunia, il s’agit d’une vraie bonne nouvelle, signe que les acteurs impliqués dans la sécurité communiquent mieux et réagissent donc rapidement.

 

secunia

 

Cependant, le Top 50 des applications a présente à lui seul 1137 failles l’année dernière, un chiffre en augmentation de 98 %. Pire, ces failles étaient disséminées dans 18 produits seulement, ce qui représente une moyenne de 63 failles par application.

 

Le conseil de Secunia aux entreprises est donc simple, à savoir moins se focaliser sur les produits Microsoft et faire plus attention à la multitude d’applications tierces présentes sur les machines. La règle d’or est d’ailleurs toujours valable : toute application n’étant pas utile doit être désinstallée. Moins les créations tierces sont nombreuses, plus la surface d’attaque est réduite.

 

Ceux qui le souhaitent pourront lire le rapport de Secunia depuis le site officiel de l’entreprise.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Pas loin de 10 000 failles recensées en 2012 

Commentaires (36)


Je m’attendais à voir java en haut du top 5, pas chrome … comme quoi on peut avoir une excellente renommé et plein de faille <img data-src=" />


La plus grosse faille ca reste toujours l’interface chaise clavier <img data-src=" />




3.iTunes : 2432 failles





Je pense que c’est 243… meme si la qualité de iTunes sur PC est largement discutable !


J’aime pas trop Sécunia, (qui font de la mauvaise foi totale dans la gravité des rapports), mais c’est vrai que 2012, on en a vu passer des failles de sécu…


De nos jours un IE fermer est beaucoup plus sécurisant qu’un Firefox open bar !


Tous les logiciels autres que Microsoft sont buggués et je ne les recommande pas.

JVachez


Mouais, alors faut faire attention à un truc tout bête.



Mozilla (Firefox) et Google (Chrome) communiquent sur les correctifs appliqués de manière assez ouverte. Beaucoup de failles sont corrigées avant d’être exploitée.

Alors qu’a l’inverse, Microsoft communique peu, et les failles sont corrigées sans être reconnues.



Dans le cas de java, le nombre de faille me semble bien faible, compte tenu du bordel engendré.








Kanchelsis a écrit :



Mouais, alors faut faire attention à un truc tout bête.



Mozilla (Firefox) et Google (Chrome) communiquent sur les correctifs appliqués de manière assez ouverte. Beaucoup de failles sont corrigées avant d’être exploitée.

Alors qu’a l’inverse, Microsoft communique peu, et les failles sont corrigées sans être reconnues.



Dans le cas de java, le nombre de faille me semble bien faible, compte tenu du bordel engendré.





Quand tu appliques une MAJ Windows Update, tu as la description de l’utilité de la MAJ… c’est très clairement écrit quand il s’agit d’une MAJ de sécurité…



Il y a des centaines de bulletins MSDN tels que lien au pif qui détaillent très largement les produits impactés… alors dire que MS ne communique pas… <img data-src=" />



Il faut dire qu’ils sortent les nouvelles versions sans les avoir testée correctement. Il est là aussi le problème.








Kanchelsis a écrit :



Mouais, alors faut faire attention à un truc tout bête.



Mozilla (Firefox) et Google (Chrome) communiquent sur les correctifs appliqués de manière assez ouverte. Beaucoup de failles sont corrigées avant d’être exploitée.

Alors qu’a l’inverse, Microsoft communique peu, et les failles sont corrigées sans être reconnues.



Dans le cas de java, le nombre de faille me semble bien faible, compte tenu du bordel engendré.





+1, j’ajouterais que nombre de failles 0-day ne sont pas divulguées, mais utilisées ou revendues.



C’est peut-être l’un des trucs qui manque le plus à Windows, même si ça parait très compliqué à mettre en place : un système de mise à jour automatique des drivers et des logiciels essentiels, directement intégré à l’OS.








Nathan1138 a écrit :



C’est peut-être l’un des trucs qui manque le plus à Windows, même si ça parait très compliqué à mettre en place : un système de mise à jour automatique des drivers et des logiciels essentiels, directement intégré à l’OS.







Ca s’appelle un market place. Et ce n’est pas apprécié par tout le monde.









Nathan1138 a écrit :



C’est peut-être l’un des trucs qui manque le plus à Windows, même si ça parait très compliqué à mettre en place : un système de mise à jour automatique des drivers et des logiciels essentiels, directement intégré à l’OS.







Pour les logiciels tiers compatibles RT : Window Store









Nathan1138 a écrit :



C’est peut-être l’un des trucs qui manque le plus à Windows, même si ça parait très compliqué à mettre en place : un système de mise à jour automatique des drivers et des logiciels essentiels, directement intégré à l’OS.





Sans même parler des marketplace (vu qu’il n’y en a pas sur W7 et antérieur) la plupart des grosses solutions/applies ont aujourd’hui (et depuis un bail) un système de maj automatique intégrée à l’appli.



Certe c’est pas centralisé et controllé par l’OS mais ça fait exactement la même chose. Je n’ai pas eu besoin de télécharger une maj de driver et/ou logiciel depuis bien longtemps









hadoken a écrit :



Quand tu appliques une MAJ Windows Update, tu as la description de l’utilité de la MAJ… c’est très clairement écrit quand il s’agit d’une MAJ de sécurité…



Il y a des centaines de bulletins MSDN tels que lien au pif qui détaillent très largement les produits impactés… alors dire que MS ne communique pas… <img data-src=" />







Ok, apprendre à lire entre les lignes.

Une mise à jour microsoft inclue généralement tout un tas de correctif.

Cela n’a jamais été l’esprit de microsoft de s’étendre sur les failles de sécurité touchant ses produits.

Combien de failles sont corrigées dans un seul patch, mais jamais détaillé ?



Par exemple : Un patch qui corrige une faille et des problèmes de stabilité, sauf qu’en réalité, il corrige une dizaine de failles.

Seul microsoft sait réellement ce qui est corrigé. C’est le principe des logiciels propriétaire aux sources fermées.









ouvreboite a écrit :



Ca s’appelle un market place. Et ce n’est pas apprécié par tout le monde.





Ça s’appelle une gestionnaire de paquet et c’est très apprécié sous Linux. <img data-src=" />









Kanchelsis a écrit :



Seul microsoft sait réellement ce qui est corrigé. C’est le principe des logiciels propriétaire aux sources fermées.





C’est pas un principe, c’est un problème inhérent aux logiciels aux sources fermées, on ne peut pas savoir ce qui est réellement fait.



Tu peux avoir une boite qui fait du closed source tout en étant totalement transparente sur ce qu’elle fait. Sauf que le client de pourra jamais en être certain.









Khalev a écrit :



C’est pas un principe, c’est un problème inhérent aux logiciels aux sources fermées, on ne peut pas savoir ce qui est réellement fait.



Tu peux avoir une boite qui fait du closed source tout en étant totalement transparente sur ce qu’elle fait. Sauf que le client de pourra jamais en être certain.







On peut remettre en question ce qui est trouvé sur un code fermé, mais je me demande quelles sont les méthodes de sécunia pour évaluer les failles. Il y a qd même une forte baisse décelée malgrès le code fermé.



flash player, c’est aussi du proprio, mais je constate qu’on ne remet pas en cause sa 4ème place vu qu’il est dèjà dans le top des “pires”, et qu’il est proprio. <img data-src=" />



Mais à la base, le nombre de failles ça induit quoi? Ce st toutes des failles de même niveau (enfin parmis les différentes échelles, critique, extrêmes, etc ) et permettant d’exécuter des programmes sur les machine infestés, ou alors certaines st vraiment bénines, limitant ainsi l’importance du nombre?









Lafisk a écrit :



Sans même parler des marketplace (vu qu’il n’y en a pas sur W7 et antérieur) la plupart des grosses solutions/applies ont aujourd’hui (et depuis un bail) un système de maj automatique intégrée à l’appli.





Tu veux parler des 74 processus qui tournent en fond de tâche et qui, pour la plupart, te calent une icône en bas à droite à côté de l’horloge ? Flash, Reader, Java, Windows, iTunes, Steam, ton antivirus, ta carte graphique, et j’en passe ?



Ou tu veux parler des applications qui, dès qu’elles démarrent, t’envoient un énorme pop-up dans la tronche “UNE MISE A JOUR EST DISPONIBLE !” (Firefox, VLC, µtorrent, et j’en passe…) ? À chaque fois j’ai envie de répondre, “ben alors fais comme Chrome, télécharge-la, installe-la silencieusement et ne me fais pas chier”.



Parce que dans un cas comme dans l’autre c’est pas ce que j’appelle un système idéal…









GrosPinPin a écrit :



La plus grosse faille ca reste toujours l’interface chaise clavier <img data-src=" />





+1 <img data-src=" />

Sinon faudrait balancer qqch qui fait peur aux pirates lorsqu’ils essayent d’exploiter une brèche pour les dissuader <img data-src=" />



<img data-src=" /> pour Google qui arrête pas les pubs qui affirme d’être le plus sûr, rapide, toussa, toussa… Mais qu’au final il number one pour les brèches non colmatées









Lafisk a écrit :



Je m’attendais à voir java en haut du top 5, pas chrome … comme quoi on peut avoir une excellente renommé et plein de faille <img data-src=" />





même java ne peut pas être en tête de tous les classement.









Nathan1138 a écrit :



Tu veux parler des 74 processus qui tournent en fond de tâche et qui, pour la plupart, te calent une icône en bas à droite à côté de l’horloge ? Flash, Reader, Java, Windows, iTunes, Steam, ton antivirus, ta carte graphique, et j’en passe ?



Ou tu veux parler des applications qui, dès qu’elles démarrent, t’envoient un énorme pop-up dans la tronche “UNE MISE A JOUR EST DISPONIBLE !” (Firefox, VLC, µtorrent, et j’en passe…) ? À chaque fois j’ai envie de répondre, “ben alors fais comme Chrome, télécharge-la, installe-la silencieusement et ne me fais pas chier”.



Parce que dans un cas comme dans l’autre c’est pas ce que j’appelle un système idéal…





toujours mieux que rien ;)









Shobi a écrit :



+1 <img data-src=" />

Sinon faudrait balancer qqch qui fait peur aux pirates lorsqu’ils essayent d’exploiter une brèche pour les dissuader <img data-src=" />







Toi et ta photo <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> c’est flippant là dans le noir comme ça !









hadoken a écrit :



Quand tu appliques une MAJ Windows Update, tu as la description de l’utilité de la MAJ… c’est très clairement écrit quand il s’agit d’une MAJ de sécurité…



Il y a des centaines de bulletins MSDN tels que lien au pif qui détaillent très largement les produits impactés… alors dire que MS ne communique pas… <img data-src=" />





Tu parles, certaines “corrections” de failles sont la désactivation pure et simple d’une fonctionnalité <img data-src=" /> (quand elles n’en cassent pas d’autres)









Shobi a écrit :



+1 <img data-src=" />

Sinon faudrait balancer qqch qui fait peur aux pirates lorsqu’ils essayent d’exploiter une brèche pour les dissuader <img data-src=" />



<img data-src=" /> pour Google qui arrête pas les pubs qui affirme d’être le plus sûr, rapide, toussa, toussa… Mais qu’au final il number one pour les brèches non colmatées





Ce ne sont pas les non colmatées qui sont comptabilisées.



Et « centaines » n’est en fait pas un mot exagéré. Sur l’année 2012, voici un Top 5 des applications classées par nombre de failles de sécurité trouvées :









Nathan1138 a écrit :



C’est peut-être l’un des trucs qui manque le plus à Windows, même si ça parait très compliqué à mettre en place : un système de mise à jour automatique des drivers et des logiciels essentiels, directement intégré à l’OS.









ouvreboite a écrit :



Ca s’appelle un market place. Et ce n’est pas apprécié par tout le monde.





Il faudrait payer des mises à jour de sécurité windows ? Évidemment que ça serait pas apprécié.









Winderly a écrit :



Il faudrait payer des mises à jour de sécurité windows ? Évidemment que ça serait pas apprécié.





les MAJ sont gratuites



Java <img data-src=" />

Flash <img data-src=" />



Et ma boite ne dev qu’avec ça ou presque <img data-src=" />








Tolor a écrit :



les MAJ sont gratuites





Je sais bien ça. <img data-src=" />

J’ai pas mis market en gras sans raison hein ?

Ce que je constate réellement c’est qu’il est difficile d’imaginer ce qu’est un gestionnaire de paquets.









Lafisk a écrit :



toujours mieux que rien ;)





Bref, c’est pas plus mal que si c’était pire ? C’est sûr qu’en raisonnant comme ça on n’avance pas <img data-src=" />



“Eh les mecs, j’en ai marre de bouffer du mammouth cru. Je me demande si, en le foutant sur le feu pendant quelques minutes, on aurait pas un truc plus sympa…

– Laisse tomber. Le mammouth cru, c’est toujours mieux que rien” <img data-src=" />









Nathan1138 a écrit :



Bref, c’est pas plus mal que si c’était pire ? C’est sûr qu’en raisonnant comme ça on n’avance pas <img data-src=" />



“Eh les mecs, j’en ai marre de bouffer du mammouth cru. Je me demande si, en le foutant sur le feu pendant quelques minutes, on aurait pas un truc plus sympa…

– Laisse tomber. Le mammouth cru, c’est toujours mieux que rien” <img data-src=" />







Ben écoutes, postules chez MS et dis leur “hey les gars je veux dévellopper un centre de maj pour windows 7 et antérieur ..” et ils vont te répondre “mais t’es con, y’a déjà un store sur win8 qui fait ça très bien …”



donc la solution elle est la hein, si tu l’as vois pas c’est pas leur faute, si tu veux rester sous 7 ben tant pis pour toi, faut pas t’attendre à une telle “nouveautés” sur les anciens OS …



Pour ton analogie … tu fais parties de ceux qui continue de bouffer le mammouth cru je te signale <img data-src=" />





La règle d’or est d’ailleurs toujours valable : toute application n’étant pas utile doit être désinstallée.





Je vais enfoncer une porte ouverte, mais ce discours n’est valable que pour les geeks, et encore.



Allez faire un tour dans vos “programmes” de Windows, et regardez les frameworks, les pilotes. Même en tant que geek, savez vous dire facilement ce qui sert ou pas ? Savez vous nettoyer sans perte ?



Exemple : Si vous désinstallez un logiciel, les packages .NET ou VC++ redistribuables restent. Comment savoir quel autre logiciel l’utilise ou pas ?








Winderly a écrit :



Je sais bien ça. <img data-src=" />

J’ai pas mis market en gras sans raison hein ?

Ce que je constate réellement c’est qu’il est difficile d’imaginer ce qu’est un gestionnaire de paquets.







Un gestionnaire de paquet n’est pas applicable à Windows :




  • ca coute de l’argent à maintenir, et si MS fait payer les éditeurs pour être dans le gestionnaire ca revient au market place W8 déjà en place.

  • même si MS fait ca bénévolement c’est tout de même eux, in fine, qui vont choisir qui y va et qui y reste (un dépot open-bar ca ne sert à rien niveau sécurité) et dans ce cas c’est la porte ouverte aux abus de position dominante. Et ca va gueuler dès que le nouveau fork de MachinTruc à la communauté ultra active de 2 utilisateurs ne sera pas présent.



    Ou alors il faut des gestionnaires externes, ce qui existe déjà (par exemple ).









ouvreboite a écrit :



Ou alors il faut des gestionnaires externes, ce qui existe déjà (par exemple ).





Je connaissais pas.









ouvreboite a écrit :



Ca s’appelle un market place. Et ce n’est pas apprécié par tout le monde.





Ce qui n’est pas apprécié, c’est l’exclusivité. L’OS se devrais de ne fournir qu’un gestionnaire de magasin. Par exemple, les dépôts sous Linux, eux, sont très appréciés.









ouvreboite a écrit :



Ou alors il faut des gestionnaires externes, ce qui existe déjà (par exemple ).





Merci, je regarde ça <img data-src=" />