Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Chrome couronné application ayant le plus de failles, suivie par Safari et Microsoft Office
Selon le classement annuel de Bit9

Le , par Hinault Romaric

60PARTAGES

1  1 
L’éditeur de sécurité informatique Bit9 vient de publier son quatrième rapport annuel établissant le palmarès des applications les plus vulnérables, ou plus exactement, celles possédant le plus grand nombre de failles trouvées.

Dans ce rapport le navigateur Google Chrome est couronné comme étant l’application comptabilisant le plus de failles, suivis par Safari, Microsoft Office, Acrobat et Abode Reader et Firefox.

La liste « Dirty Dozen » est un classement des applications les plus populaires sur la base du nombre de cas de vulnerabiltés graves signalées par les utilisateurs finaux touchés au cours de l’année.

De ce classement il ressort que Google Chrome aurait comptabilisé 76 failles graves signalées, Safari 60 , Microsoft Office 57, Adobe Reader 54 et Firefox 51 .

Le fait que Chrome soit à la tête de cette liste ne signifie pas pour autant que celui-ci soit moins sûr que les autres. Harry Sverdlove directeur technique chez Bit9 souligne bien ce point.

Apple figure 3 fois sur la liste.

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.

Le classement de Bit9 est disponible sur cette page

Et vous ?

Que pensez-vous de ce classement?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Octopod
Membre du Club https://www.developpez.com
Le 19/11/2010 à 14:52
Le nombre de failles n'est évidemment pas une donnée suffisante pour juger d'un logiciel. La réactivité à les corriger, qu'elle qu'en soit le nombre me paraît de loin plus important. Autre facteur, le nombre de failles découvertes est proportionnel à l'utilisation et aux nombres de testeurs "stressant" le logiciel. Un logiciel moins utilisé ou moins "malmené" peut sembler plus sur alors qu'il possède un nombre de failles non découvertes plus important. Bref, comme tout dans la vie, rien ne se résume à quelques chiffres.
6  0 
Avatar de atha2
Membre éprouvé https://www.developpez.com
Le 19/11/2010 à 18:23
Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.
5  1 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 19/11/2010 à 14:52
chrome est jeune, c'est normal que de nombreuses failles soient trouvées, et il est en effet intéressant de noter la réactivité de Google pour les corriger. Pour autant, je ne m'imaginais pas qu'il serait le premier du classement.

@John, il me semblait que l'on avait pas tenté de pirater chrome justement...
3  0 
Avatar de zencorp
Membre habitué https://www.developpez.com
Le 19/11/2010 à 15:06
Chrome évolue surtout trop vite, ce qui implique surement une approche de Test peu poussée. C'est plus facile de sortir rapidement des fonctionnalité et autres que la concurrence si on fait moins de contrôle à mon avis.
4  1 
Avatar de JeitEmgie
Membre expert https://www.developpez.com
Le 19/11/2010 à 16:11
Méfiez-vous de la manière dont Bit9 comptabilise le nombre de failles :
ils comptent le nombre de CVE indépendamment du fait que plusieurs sont en fait causés par le même code…
par exemple un bug dans une librairie va se retrouver comptabilisé dans toutes les applications clientes de la librairie…

Ce qui revient en quelque sorte à compter le nombre de manières répertoriées jusqu'à présent pour exploiter un même problème : on comprend tout de suite la "volatilité" d'une telle mesure. Ce qui explique aussi pourquoi on perçoit une certaine contradiction entre ce rapport et la réalité vécue.

Par contre ce qui est frappant quand on va dans le détail c'est que la majorité des problèmes sont liés à des bugs dans le décodage de tel ou tel format de fichiers… et ceci quelque soit la plate-forme.
2  0 
Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 19/11/2010 à 16:41
Citation Envoyé par Kenaryn Voir le message
En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).
Justement, ce qu'on lui reproche c'est de ne pas être exhaustive, puisqu'elle ne peut pas tenir compte des failles non divulguées.

Rien n'empèche un produit ayant 50 failles signalées d'avoir en réalité dépassé les 250 failles, mais ça, l'étude ne peut pas le savoir. Et ce qu'on lui reproche c'est justement de prendre en compte 50 au lieu de 250.
1  0 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 20/11/2010 à 15:05
Citation Envoyé par JohnPetrucci Voir le message
Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

De plus Chrome est un soft qui évolue très vite.
Exact. +1 pour toi
Je pense même que c'est la rapidité des corrections est à prendre en compte au moins autant que le nombre de failles elles-même. Les statistiques seraient complètement différentes et bien plus réalistes.

[TROLL]Et Linux là dedans ? Il est où ?[/TROLL]

Plus sérieusement c'est une étude qui vient de Pipoland.
Ce ne serait pas Microsoft qui l'aurait commandé par hasard (vu qu'ils n'y sont, comme par hasard, pas ?)

Et effectivement, j'insiste sur le côté BlackHat : les hackers ont confié eux-même que de par le principe des sandbox, qui est unique et spécifique à Chrome, le hacking est rendu nettement plus difficile. Faille ou pas faille, le hacking de Chrome est nettement plus difficile que pour tous les autres navigateurs.
2  1 
Avatar de kaiser59
Membre expérimenté https://www.developpez.com
Le 24/11/2010 à 14:39
Comment peuvent il dire que MS office est plus sûr que Chrome... ?

Je comprend pas trop, personnellement je trouve ça pas très comparable office c'est une suite de logiciel pas un navigateur ne serait il pas plus judicieux de le comparer avec OpenOffice et consoeur ? Idem pour adobe reader je ne savais pas qu'il faisait navigateur aussi ^^

Rien qu'à voir leur comparaison, on peut se demander s'ils sont vraiment sérieux...
1  0 
Avatar de mortapa
Membre à l'essai https://www.developpez.com
Le 24/11/2010 à 15:09
Citation Envoyé par kaiser59 Voir le message

pour adobe reader je ne savais pas qu'il faisait navigateur aussi
Web Browsers, Desktop Software Top “Dirty Dozen” Apps List
1  0 
Avatar de FailMan
Membre expert https://www.developpez.com
Le 19/11/2010 à 16:07
Citation Envoyé par Flaburgan Voir le message
@John, il me semblait que l'on avait pas tenté de pirater chrome justement...
Il faudrait que je retrouve l'article, il avait tenté de hacker tous les navigateurs, cependant Chrome s'était montré plus sûr que les autres. Il y avait des failles, mais bien plus ardues à exploiter que celles présentes dans les autres navigateurs, du coup elles ont été abandonnées
1  1