Une étude indépendante réalisée durant le premier trimestre de cette année à la demande de Microsoft et couvrant les vulnérabilités enregistrées en 2009 remet en question quelques préjugés sur la sécurité de certains produits jugés vulnérables ou au contraire réputés fiables.
L'étude qui se limite aux systèmes d’exploitation et les systèmes de gestions de base de données (SBGD) compare des gammes de produits propriétaires ou open-sources équivalents (sorties durant les mêmes périodes) dans leurs plus récents Services Packs ou updates.
Pour les systèmes d'exploitation, elle oppose les trois dernières versions majeures de Microsoft Windows aux versions concurrentes de MacOS X, Linux Redhat, Ubuntu, et Suse.
Quant aux bases de données, les vulnérabilités des solutions Microsoft (SqlServer), Oracle, IBM et Sun (MySQL) ont était analysées.
Les résultats sont intéressants, et peuvent sembler pour certains étonnants, en effet, l'OS de Windows, dans ses versions XPSP3, Vista SP1 et 7 enregistre le moins de vulnérabilités, loin derrière les distributions Linux.
L'OS de la firme de la Pomme arrive en deuxième position.
Pour les distributions linux, on constate une percée remarquable de la distribution Ubuntu en termes d'efforts sur la sécurité entre la version 8.4 et 9.10, cette dernière serait même plus fiable que Suse et RedHat.
Cependant, la majeure partie des vulnérabilités publiées sur Windows XP SP3, Vista SP1 et Windows 7 ont un fort niveau de criticité.
Toutefois leur nombre est globalement inférieur à la moyenne des autres systèmes d’exploitation, pour le même niveau de criticité. Exception faite pour MacOS X 10.5.2 et 10.5.3 qui enregistrent moins de failles de niveau critique que Windows XPSP3 et Vista.
La même tendance se confirme pour les systèmes de gestion des bases de données avec une suprématie absolue pour Microsoft SQL Server qui n'enregistre aucune vulnérabilité durant l'année 2009 aussi bien pour la version 2005 que 2008.
Le SGBD open-source MySQL, enregistre lui aussi des performances remarquables avec seulement 3 et 2 vulnérabilités détectés pour, respectivement, les versions 5.0.38 et 5.1.30.
L'étude s'intéresse aussi aux « days-of-risk » ou le nombre de jours écoulés entre la découverte des failles et la parution d'un correctif.
Là aussi Microsoft fait figure de bon élève et corrige immédiatement la majorité des failles.
Un autre fait marquant est qu'Apple est l'éditeur qui laisse le plus de vulnérabilités sans correctifs (lire par ailleurs Apple numéro un des vulnérabilités selon Secunia mais ces failles seraient peu critiques)
Pour plus de détails, l'étude complète est disponible via ce lien
Et vous ?
Que pensez-vous de ces résultats ?
Vous ou vos proches pensez-vous que les OS propriétaires soient plus vulnérables ? D'où viennent selon-vous ces idées-reçues ?
Vos outils de travail sont-t-il réellement fiables ?
Une analyse des vulnérabilités remet en question certaines idées reçues
Vos outils de travail sont-t-il réellement fiables ?
Une analyse des vulnérabilités remet en question certaines idées reçues
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !