Selon la National Vulnerability Database, en 2014 Windows se serait révélé moins vulnérable que ses concurrents Mac OS X et Linux, ni d'Apple iOS. Les chiffres parlent, mais ne peuvent résister à une analyse fine, car si l'on intègre les applicatifs proches des OS, la tendance s'inverse…
Les études qui placent Microsoft Windows en queue de peloton des environnements informatiques les plus vulnérables sont rares. C'est pourquoi quand l'une d'elle affirme que Windows est moins vulnérable que Mac OS X ou Linux, on s'y intéresse.
7.038 vulnérabilités
La National Vulnerability Database a publié son rapport pour 2014. Elle fait apparaître un classement des systèmes d'exploitation (OS) par vulnérabilités qui rompt avec l'habitude de voir Microsoft truster les premières places. L'organisation a relevé 7.038 vulnérabilités en 2014, soit un bond de 68 % (4.794 en 2013).
- 147 vulnérabilités ont concerné Mac OS X, dont 64 qualifiées de 'haute'
- 127 vulnérabilités ont concerné iOS, dont 32 qualifiées de 'haute'
- 119 vulnérabilités ont concerné Linux, dont 24 qualifiées de 'haute'
Suit la litanie des versions de Windows :
- 38 vulnérabilités ont concerné Windows Server 2008, dont 26 qualifiées de 'haute'
- 38 vulnérabilités ont concerné Windows Server 2012, dont 24 qualifiées de 'haute'
- 36 vulnérabilités ont concerné Windows 7, dont 25 qualifiées de 'haute'
- 36 vulnérabilités ont concerné Windows 8, dont 24 qualifiées de 'haute'
- 36 vulnérabilités ont concerné Windows 8.1, dont 24 qualifiées de 'haute'
- 34 vulnérabilités ont concerné Windows Vista, dont 23 qualifiées de 'haute'
- 30 vulnérabilités ont concerné Windows RT, dont 22 qualifiées de 'haute'
On notera que si l'on cumule l'ensemble de ces versions, Microsoft Windows affiche 248 vulnérabilités, et reprend la tête ! L'éditeur souffre de la multiplication des versions de son OS au fil du temps, ce qui nuit à la notoriété de ses produits en matière de sécurité en en faisant une cible de choix pour les hackers.
Internet Explorer inverse le classement
Prendre en compte la seule vulnérabilité de l'OS est restrictif. Tout environnement s'accompagne de ses applications, et en priorité aujourd'hui de son navigateur internet. Et là, une mauvaise surprise attend Microsoft : selon la National Vulnerability Database, l'application la plus vulnérable serait Internet Explorer, avec 242 vulnérabilités, dont 220 (!) déclarées 'hautes'.
Personne n'est exempt de défauts. Mais la seconde application du classement, Google Chrome, affiche plus de deux fois moins de failles : 124, dont 86 'hautes'. Suivent Mozilla Firefox (117 vulnérabilités), Oracle Java (104), Adobe Flash Player (76), etc.
Difficile de ne pas jeter la pierre à Microsoft et aux éditeurs. Les failles s'accumulent et se multiplient, et l'on peut légitimement se demander si tout est fait pour les éviter, et si les tests ne sont pas encore le parent pauvre de la sécurité des OS et des applications ?
Ne ralentissez pas !
Souvenons-nous, il y a une dizaine d'années, Microsoft, qui soutenait le rythme infernal d'une nouvelle version de ses produits tous les deux ans, était pointé du doigt pour la faible qualité de ses produits, qui sortaient bourrés de bugs et de failles. Il a fallu un mail coup de poing de Bill Gates et une véritable introspection du groupe pour que les mesures soient prises et que la majorité des faiblesses des logiciels signés Microsoft soient corrigées.
Aujourd'hui, le classement de Windows en queue des OS par leur nombre de vulnérabilités est le résultat de cette stratégie. Un résultat qui cependant demeure faible. D'être le géant des logiciels n'arrange pas les choses en faisant de l'éditeur la cible de la majorité des hackers de la planète. Il ne faut cependant pas se contenter de ce résultat, surtout qu'avec le cloud la menace et ses dégâts pourraient prendre une autre ampleur...