Developpez.com

Le Club des Développeurs et IT Pro

Chrome couronné application ayant le plus de failles, suivie par Safari et Microsoft Office

Selon le classement annuel de Bit9

Le 2010-11-19 13:49:10, par Hinault Romaric, Responsable .NET
L’éditeur de sécurité informatique Bit9 vient de publier son quatrième rapport annuel établissant le palmarès des applications les plus vulnérables, ou plus exactement, celles possédant le plus grand nombre de failles trouvées.

Dans ce rapport le navigateur Google Chrome est couronné comme étant l’application comptabilisant le plus de failles, suivis par Safari, Microsoft Office, Acrobat et Abode Reader et Firefox.

La liste « Dirty Dozen » est un classement des applications les plus populaires sur la base du nombre de cas de vulnerabiltés graves signalées par les utilisateurs finaux touchés au cours de l’année.

De ce classement il ressort que Google Chrome aurait comptabilisé 76 failles graves signalées, Safari 60 , Microsoft Office 57, Adobe Reader 54 et Firefox 51 .

Le fait que Chrome soit à la tête de cette liste ne signifie pas pour autant que celui-ci soit moins sûr que les autres. Harry Sverdlove directeur technique chez Bit9 souligne bien ce point.

Apple figure 3 fois sur la liste.

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.

Le classement de Bit9 est disponible sur cette page

Et vous ?

Que pensez-vous de ce classement?
  Discussion forum
20 commentaires
  • Octopod
    Membre du Club
    Le nombre de failles n'est évidemment pas une donnée suffisante pour juger d'un logiciel. La réactivité à les corriger, qu'elle qu'en soit le nombre me paraît de loin plus important. Autre facteur, le nombre de failles découvertes est proportionnel à l'utilisation et aux nombres de testeurs "stressant" le logiciel. Un logiciel moins utilisé ou moins "malmené" peut sembler plus sur alors qu'il possède un nombre de failles non découvertes plus important. Bref, comme tout dans la vie, rien ne se résume à quelques chiffres.
    le 19/11/2010 à 14:52
  • atha2
    Membre éprouvé
    Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.
    le 19/11/2010 à 18:23
  • Flaburgan
    Modérateur
    chrome est jeune, c'est normal que de nombreuses failles soient trouvées, et il est en effet intéressant de noter la réactivité de Google pour les corriger. Pour autant, je ne m'imaginais pas qu'il serait le premier du classement.

    @John, il me semblait que l'on avait pas tenté de pirater chrome justement...
    le 19/11/2010 à 14:52
  • zencorp
    Membre habitué
    Chrome évolue surtout trop vite, ce qui implique surement une approche de Test peu poussée. C'est plus facile de sortir rapidement des fonctionnalité et autres que la concurrence si on fait moins de contrôle à mon avis.
    le 19/11/2010 à 15:06
  • JeitEmgie
    Expert confirmé
    Méfiez-vous de la manière dont Bit9 comptabilise le nombre de failles :
    ils comptent le nombre de CVE indépendamment du fait que plusieurs sont en fait causés par le même code…
    par exemple un bug dans une librairie va se retrouver comptabilisé dans toutes les applications clientes de la librairie…

    Ce qui revient en quelque sorte à compter le nombre de manières répertoriées jusqu'à présent pour exploiter un même problème : on comprend tout de suite la "volatilité" d'une telle mesure. Ce qui explique aussi pourquoi on perçoit une certaine contradiction entre ce rapport et la réalité vécue.

    Par contre ce qui est frappant quand on va dans le détail c'est que la majorité des problèmes sont liés à des bugs dans le décodage de tel ou tel format de fichiers… et ceci quelque soit la plate-forme.
    le 19/11/2010 à 16:11
  • Hellwing
    Membre chevronné
    Envoyé par Kenaryn
    En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).
    Justement, ce qu'on lui reproche c'est de ne pas être exhaustive, puisqu'elle ne peut pas tenir compte des failles non divulguées.

    Rien n'empèche un produit ayant 50 failles signalées d'avoir en réalité dépassé les 250 failles, mais ça, l'étude ne peut pas le savoir. Et ce qu'on lui reproche c'est justement de prendre en compte 50 au lieu de 250.
    le 19/11/2010 à 16:41
  • SurferIX
    Membre chevronné
    Envoyé par JohnPetrucci
    Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

    De plus Chrome est un soft qui évolue très vite.
    Exact. +1 pour toi
    Je pense même que c'est la rapidité des corrections est à prendre en compte au moins autant que le nombre de failles elles-même. Les statistiques seraient complètement différentes et bien plus réalistes.

    [TROLL]Et Linux là dedans ? Il est où ?[/TROLL]

    Plus sérieusement c'est une étude qui vient de Pipoland.
    Ce ne serait pas Microsoft qui l'aurait commandé par hasard (vu qu'ils n'y sont, comme par hasard, pas ?)

    Et effectivement, j'insiste sur le côté BlackHat : les hackers ont confié eux-même que de par le principe des sandbox, qui est unique et spécifique à Chrome, le hacking est rendu nettement plus difficile. Faille ou pas faille, le hacking de Chrome est nettement plus difficile que pour tous les autres navigateurs.
    le 20/11/2010 à 15:05
  • kaiser59
    Membre expérimenté
    Comment peuvent il dire que MS office est plus sûr que Chrome... ?

    Je comprend pas trop, personnellement je trouve ça pas très comparable office c'est une suite de logiciel pas un navigateur ne serait il pas plus judicieux de le comparer avec OpenOffice et consoeur ? Idem pour adobe reader je ne savais pas qu'il faisait navigateur aussi ^^

    Rien qu'à voir leur comparaison, on peut se demander s'ils sont vraiment sérieux...
    le 24/11/2010 à 14:39
  • mortapa
    Membre régulier
    Envoyé par kaiser59

    pour adobe reader je ne savais pas qu'il faisait navigateur aussi
    Web Browsers, Desktop Software Top “Dirty Dozen” Apps List
    le 24/11/2010 à 15:09
  • FailMan
    Membre expert
    Envoyé par Flaburgan
    @John, il me semblait que l'on avait pas tenté de pirater chrome justement...
    Il faudrait que je retrouve l'article, il avait tenté de hacker tous les navigateurs, cependant Chrome s'était montré plus sûr que les autres. Il y avait des failles, mais bien plus ardues à exploiter que celles présentes dans les autres navigateurs, du coup elles ont été abandonnées
    le 19/11/2010 à 16:07
  Poster une réponse