Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les applications de Microsoft quatre fois moins vulnérables que les autres
Selon Secunia

Le , par Hinault Romaric

0PARTAGES

1  1 
La firme danoise de sécurité informatique et de suivi des vulnérabilités logicielles vient de publier son rapport annuel d’analyse des menaces sur l’année 2010.

De ce rapport et de la conférence de presse de présentation de celui-ci par Stefan Fei, directeur de Secunia, il ressort que les utilisateurs devraient moins s’inquiéter des vulnérabilités des produits Microsoft que celles des logiciels tiers.

Le rapport dévoile que le nombre de vulnérabilités découvertes a légèrement diminué au cours des deux dernières années. 84% des vulnérabilités découvertes en 2010 sont exploitables à distance et 64 % sont liées à des produits tiers qui n’ont pas un mécanisme de sécurité de qualité.

Le rapport révèle également que 55 % des utilisateurs ont plus de 66 programmes installés, programmes édités en moyenne par plus de 22 fournisseurs différents. Parmi les 50 logiciels les plus couramment installés, 26 ont été réalisés par Microsoft.

Selon le rapport, les applications développées par les autres entreprises seraient environ quatre fois plus vulnérables que celles développées par Microsoft.

D’après Frei cette différence vient du processus de mise à jour des applications de Microsoft qui est relativement simple pour les utilisateurs. Les autres entreprises utilisent des systèmes différents et seulement quelques-uns utilisent un mécanisme de mises à jour automatiques similaire à celui-ci de Microsoft.

L’absence d’un véritable processus de mises à jour fréquentes et adaptées aux habitudes des utilisateurs dans les entreprises créerait des véritables opportunités pour les pirates.

« Il y a un énorme décalage entre la période ou les vulnérabilités sont découvertes et exploitées par les pirates et celle ou les équipes de sécurité des entreprises mettent à la disposition des utilisateurs finaux des mises à jour appropriées » affirme Frei, « les petites entreprises ont moins de ressources à consacrer à la mise sur pied d’une fonction de mise à jour automatique de leurs produits ».

Le rapport montre que pour conserver leurs systèmes informatiques sécurisés, les utilisateurs doivent maitriser en moyenne 14 mécanismes différents de mise à jour des applications. La plupart des utilisateurs ne sont même pas informés de l'existence des mises à jour à leurs sorties. D'autres sont tout simplement dépassés par la complexité et la fréquence des mesures à prendre en rapport avec ces applications tiers pour protéger le système.

Secunia en conclue que l’exploitation des vulnérabilités des autres applications devrait beaucoup plus attirer les pirates que les vulnérabilités des technologies de Microsoft.

Un rapport qui va à l'encontre de bon nombre d'idées reçue.

Source : Le rapport Secunia (PDF)

Et vous ?

Que pensez-vous du processus de mise à jour des autres fournisseurs ?

Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 19/01/2011 à 14:04
Prenez Ubuntu, mais c'est aussi le cas de la plupart des autres distributions Linux, et vous disposez d'un système capable de mettre à jour automatiquement l'ensemble du système, applications comprises, sans aucune action autre de la part de l'utilisateur que la confirmation de l'installation des mises à jour. Et la plupart du temps sans avoir à réaliser le moindre reboot.
9  2 
Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 19/01/2011 à 14:54
Je suis d'accord avec Sunsawe, le mécanisme de mise à jour du système et des applications devrait être idéalement intégré au système d'exploitation.

Linux y arrive bien (certes c'est facilité par le fait que la majorité des applications sont fournies par l'OS lui-même, mais même les applications externes comme par exemple Opera savent s'installer dans les mises à jour du système pour être mises à jour par le système).

Actuellement, sous Windows, c'est chacun pour soi. Certaines sociétés fournissent leur propre logiciel de mise à jour spécifique (Microsoft, Apple, Adobe, HP, Java, ...), ce qui prend de la RAM, de l'espace, et une interface différente pour chaque. D'autres incluent le mécanisme dans l'application elle-même au lancement (Firefox, Chrome, Notepad++, ...). Et enfin certaines n'offrent tout simplement aucun moyen de mise à jour automatique.

Bref, sous Windows y'a sacrément du retard par rapport à Linux sur ce point.
6  0 
Avatar de manudwarf
Membre éclairé https://www.developpez.com
Le 19/01/2011 à 14:01
Citation Envoyé par Hinault Romaric Voir le message
Que pensez-vous du processus de mise à jour des autres fournisseurs ?
La critique est facile, puisque MS ne permet pas aux éditeurs tiers de profiter de son système de mises à jour, lui.

Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ?
Ça me conforte dans l'idée qu'un système de mise à jour centralisé et ouvert offre une meilleure sécurité.
7  2 
Avatar de boris2587
Membre à l'essai https://www.developpez.com
Le 19/01/2011 à 14:48
C'est justement à Microsoft de mettre sa plateforme de mise à jour à la disposition des autres éditeurs de logiciels de Windows
4  0 
Avatar de Neko
Membre chevronné https://www.developpez.com
Le 19/01/2011 à 15:03
Je crois qu'on s'est mal compris. Oui, idéalement ce serait au système. C'est pas le cas. Bouh, Méchant Microsoft, etc etc. Passons.

En fait ya que 3 possibilités:
- Soit rester comme ça ( c'est à dire le bordel )
- Soit faire changer d'avis Microsoft ( Bonne chance et pour ça faudrait se bouger un peu plus que dire simplement "pas bien!!" )
- Soit avancer sans leur accord et faire un système qui pourrait ( soyons fou! ) devenir standard.
5  2 
Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 19/01/2011 à 16:34
Je ne vois pas le rapport entre MSI et le système de mise à jour idéal, automatique et centralisé dont on parle ici.
3  0 
Avatar de Michaël
Expert éminent https://www.developpez.com
Le 19/01/2011 à 17:54
Pour info, l'équipe Windows Update est en train de refondre Windows Update depuis quelques mois pour autoriser les applis tierces à l'utiliser et ainsi centraliser les majs
3  0 
Avatar de Sunsawe
Membre actif https://www.developpez.com
Le 19/01/2011 à 14:45
Citation Envoyé par Neko Voir le message
Et qu'est-ce qui empêche tout ces éditeurs tiers de se regrouper pour faire un système de mise à jour commun sous Windows, justement comme sous Ubuntu et autre distributions Linux ?
Tu trouves plus logique de fédérer des milliers d'éditeurs pour faire un système de mise à jour commun, plutot que d'avoir un outil fournit par le point commun à tous, à savoir, le système d'exploitation...?
4  2 
Avatar de manudwarf
Membre éclairé https://www.developpez.com
Le 19/01/2011 à 22:10
Citation Envoyé par Djef-69 Voir le message
bonjour,

Centraliser la distribution des maj de logiciel tiers par le biais de microsoft. j'abonde dans ce sens.
Faut se mettre à la place de l'utilisateur lambda pour qui un ordinateur se limite à son côté fonctionnel. il en a cure d'avoir un système configuré aux petits oignons, tout ce qu'il veut c'est que ça marche! pour la majorité l'installation des maj est plus une contrainte qu'autre chose! Sur ce point les distrib Linux ont un avantage indéniable mais on est dans le monde merveilleux de l'open-source.

Par contre cela soulève d'autre questions cette centralisation. On était, jsqu'ici, dans un système ou chaque éditeur avait toute liberté (et responsabilité!) de gestion de ses correctifs, monté de version et distribution. Intégrer un acteur supplémentaire dans ce système rajoute des contraintes supplémentaires que certains ne sont peut-être pas prêt à suivre, le frein ne vient peut-être pas de cro$oft.

Mais là ou ça devient plus délicat c'est que la mouvance actuelle tend à l'intégration d'une plateforme de distribution complète, appstore&Cie. Ubuntu fait même une avancée dans ce domaine et j'ai un peu peur de passer d'un système souple, mais bordélique, à un système rigide et dictatorial ou on sera dépendant de son système... ou nous, pauvre petit développeur, on sera contraint de suivre les standards d'un système pour construire nos applications, contraint d'intégrer des boutons au "look" du système afin de passer d'éventuel processus de validation, contraint d'utiliser x certificats pour pouvoir développer, installer sur des plateformes de test, distribuer, contraint de devoir payer une licence "développeur" afin de pouvoir accéder au suprême privilège de créer des applications pour telle plateforme... j'en ai des sueurs froides... sombre avenir vous ne trouvez pas
Tu confonds l'AppStore d'iOS et APT je pense

Sur Ubuntu ça reste un système décentralisé où tu peux ajouter des dépôts tiers à volonté au processus de mise à jour, le tout sans validation ou autre restriction ! Le logiciel d'Ubuntu t'indique même les dépôts supplémentaires à gauche.

Ce qui me fait rire, c'est qu'avant iOS, tout le monde critiquait le modèle des dépôts, mais maintenant que le système s'est démocratisé c'est devenu un must-have. Techniquement, il n'a pas changé d'un iota, hein
2  0 
Avatar de Michaël
Expert éminent https://www.developpez.com
Le 19/01/2011 à 19:41
Quels logiciels indésirables avec live ? La dernière fois que j'ai installé live, j'ai pas eu de logiciels indésirables autres que ceux de la suite live. Est-ce que tu parles de l'appli mail, photos, etc ? Si oui, c'est inclus dans la suite donc c'est normal qu'il te propose de l'installer Ca fonctionne comme ça dans toutes les suites (ou presque)
1  0