Les applications de Microsoft quatre fois moins vulnérables que les autres
Selon Secunia
Le 2011-01-19 13:22:20, par Hinault Romaric, Responsable .NET
La firme danoise de sécurité informatique et de suivi des vulnérabilités logicielles vient de publier son rapport annuel d’analyse des menaces sur l’année 2010.
De ce rapport et de la conférence de presse de présentation de celui-ci par Stefan Fei, directeur de Secunia, il ressort que les utilisateurs devraient moins s’inquiéter des vulnérabilités des produits Microsoft que celles des logiciels tiers.
Le rapport dévoile que le nombre de vulnérabilités découvertes a légèrement diminué au cours des deux dernières années. 84% des vulnérabilités découvertes en 2010 sont exploitables à distance et 64 % sont liées à des produits tiers qui n’ont pas un mécanisme de sécurité de qualité.
Le rapport révèle également que 55 % des utilisateurs ont plus de 66 programmes installés, programmes édités en moyenne par plus de 22 fournisseurs différents. Parmi les 50 logiciels les plus couramment installés, 26 ont été réalisés par Microsoft.
Selon le rapport, les applications développées par les autres entreprises seraient environ quatre fois plus vulnérables que celles développées par Microsoft.
D’après Frei cette différence vient du processus de mise à jour des applications de Microsoft qui est relativement simple pour les utilisateurs. Les autres entreprises utilisent des systèmes différents et seulement quelques-uns utilisent un mécanisme de mises à jour automatiques similaire à celui-ci de Microsoft.
L’absence d’un véritable processus de mises à jour fréquentes et adaptées aux habitudes des utilisateurs dans les entreprises créerait des véritables opportunités pour les pirates.
« Il y a un énorme décalage entre la période ou les vulnérabilités sont découvertes et exploitées par les pirates et celle ou les équipes de sécurité des entreprises mettent à la disposition des utilisateurs finaux des mises à jour appropriées » affirme Frei, « les petites entreprises ont moins de ressources à consacrer à la mise sur pied d’une fonction de mise à jour automatique de leurs produits ».
Le rapport montre que pour conserver leurs systèmes informatiques sécurisés, les utilisateurs doivent maitriser en moyenne 14 mécanismes différents de mise à jour des applications. La plupart des utilisateurs ne sont même pas informés de l'existence des mises à jour à leurs sorties. D'autres sont tout simplement dépassés par la complexité et la fréquence des mesures à prendre en rapport avec ces applications tiers pour protéger le système.
Secunia en conclue que l’exploitation des vulnérabilités des autres applications devrait beaucoup plus attirer les pirates que les vulnérabilités des technologies de Microsoft.
Un rapport qui va à l'encontre de bon nombre d'idées reçue.
Source : Le rapport Secunia (PDF)
Et vous ?
Que pensez-vous du processus de mise à jour des autres fournisseurs ?
Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ?
En collaboration avec Gordon Fowler
De ce rapport et de la conférence de presse de présentation de celui-ci par Stefan Fei, directeur de Secunia, il ressort que les utilisateurs devraient moins s’inquiéter des vulnérabilités des produits Microsoft que celles des logiciels tiers.
Le rapport dévoile que le nombre de vulnérabilités découvertes a légèrement diminué au cours des deux dernières années. 84% des vulnérabilités découvertes en 2010 sont exploitables à distance et 64 % sont liées à des produits tiers qui n’ont pas un mécanisme de sécurité de qualité.
Le rapport révèle également que 55 % des utilisateurs ont plus de 66 programmes installés, programmes édités en moyenne par plus de 22 fournisseurs différents. Parmi les 50 logiciels les plus couramment installés, 26 ont été réalisés par Microsoft.
Selon le rapport, les applications développées par les autres entreprises seraient environ quatre fois plus vulnérables que celles développées par Microsoft.
D’après Frei cette différence vient du processus de mise à jour des applications de Microsoft qui est relativement simple pour les utilisateurs. Les autres entreprises utilisent des systèmes différents et seulement quelques-uns utilisent un mécanisme de mises à jour automatiques similaire à celui-ci de Microsoft.
L’absence d’un véritable processus de mises à jour fréquentes et adaptées aux habitudes des utilisateurs dans les entreprises créerait des véritables opportunités pour les pirates.
« Il y a un énorme décalage entre la période ou les vulnérabilités sont découvertes et exploitées par les pirates et celle ou les équipes de sécurité des entreprises mettent à la disposition des utilisateurs finaux des mises à jour appropriées » affirme Frei, « les petites entreprises ont moins de ressources à consacrer à la mise sur pied d’une fonction de mise à jour automatique de leurs produits ».
Le rapport montre que pour conserver leurs systèmes informatiques sécurisés, les utilisateurs doivent maitriser en moyenne 14 mécanismes différents de mise à jour des applications. La plupart des utilisateurs ne sont même pas informés de l'existence des mises à jour à leurs sorties. D'autres sont tout simplement dépassés par la complexité et la fréquence des mesures à prendre en rapport avec ces applications tiers pour protéger le système.
Secunia en conclue que l’exploitation des vulnérabilités des autres applications devrait beaucoup plus attirer les pirates que les vulnérabilités des technologies de Microsoft.
Un rapport qui va à l'encontre de bon nombre d'idées reçue.
Source : Le rapport Secunia (PDF)
Et vous ?
En collaboration avec Gordon Fowler
-
AnomalyResponsable techniquePrenez Ubuntu, mais c'est aussi le cas de la plupart des autres distributions Linux, et vous disposez d'un système capable de mettre à jour automatiquement l'ensemble du système, applications comprises, sans aucune action autre de la part de l'utilisateur que la confirmation de l'installation des mises à jour. Et la plupart du temps sans avoir à réaliser le moindre reboot.le 19/01/2011 à 14:04
-
AnomalyResponsable techniqueJe suis d'accord avec Sunsawe, le mécanisme de mise à jour du système et des applications devrait être idéalement intégré au système d'exploitation.
Linux y arrive bien (certes c'est facilité par le fait que la majorité des applications sont fournies par l'OS lui-même, mais même les applications externes comme par exemple Opera savent s'installer dans les mises à jour du système pour être mises à jour par le système).
Actuellement, sous Windows, c'est chacun pour soi. Certaines sociétés fournissent leur propre logiciel de mise à jour spécifique (Microsoft, Apple, Adobe, HP, Java, ...), ce qui prend de la RAM, de l'espace, et une interface différente pour chaque. D'autres incluent le mécanisme dans l'application elle-même au lancement (Firefox, Chrome, Notepad++, ...). Et enfin certaines n'offrent tout simplement aucun moyen de mise à jour automatique.
Bref, sous Windows y'a sacrément du retard par rapport à Linux sur ce point.le 19/01/2011 à 14:54 -
manudwarfMembre éclairéLa critique est facile, puisque MS ne permet pas aux éditeurs tiers de profiter de son système de mises à jour, lui.
Partagez-vous cette analyse de Secunia sur la meilleure sécurité des technologies de Microsoft ? le 19/01/2011 à 14:01 -
boris2587Membre à l'essaiC'est justement à Microsoft de mettre sa plateforme de mise à jour à la disposition des autres éditeurs de logiciels de Windowsle 19/01/2011 à 14:48
-
NekoMembre chevronnéJe crois qu'on s'est mal compris. Oui, idéalement ce serait au système. C'est pas le cas. Bouh, Méchant Microsoft, etc etc. Passons.
En fait ya que 3 possibilités:
- Soit rester comme ça ( c'est à dire le bordel )
- Soit faire changer d'avis Microsoft ( Bonne chance et pour ça faudrait se bouger un peu plus que dire simplement "pas bien!!" )
- Soit avancer sans leur accord et faire un système qui pourrait ( soyons fou! ) devenir standard.le 19/01/2011 à 15:03 -
AnomalyResponsable techniqueJe ne vois pas le rapport entre MSI et le système de mise à jour idéal, automatique et centralisé dont on parle ici.le 19/01/2011 à 16:34
-
MichaëlExpert éminentPour info, l'équipe Windows Update est en train de refondre Windows Update depuis quelques mois pour autoriser les applis tierces à l'utiliser et ainsi centraliser les majsle 19/01/2011 à 17:54
-
SunsaweMembre actifTu trouves plus logique de fédérer des milliers d'éditeurs pour faire un système de mise à jour commun, plutot que d'avoir un outil fournit par le point commun à tous, à savoir, le système d'exploitation...?
le 19/01/2011 à 14:45 -
manudwarfMembre éclairéTu confonds l'AppStore d'iOS et APT je pense
Sur Ubuntu ça reste un système décentralisé où tu peux ajouter des dépôts tiers à volonté au processus de mise à jour, le tout sans validation ou autre restriction ! Le logiciel d'Ubuntu t'indique même les dépôts supplémentaires à gauche.
Ce qui me fait rire, c'est qu'avant iOS, tout le monde critiquait le modèle des dépôts, mais maintenant que le système s'est démocratisé c'est devenu un must-have. Techniquement, il n'a pas changé d'un iota, heinle 19/01/2011 à 22:10 -
MichaëlExpert éminentQuels logiciels indésirables avec live ? La dernière fois que j'ai installé live, j'ai pas eu de logiciels indésirables autres que ceux de la suite live. Est-ce que tu parles de l'appli mail, photos, etc ? Si oui, c'est inclus dans la suite donc c'est normal qu'il te propose de l'installer
Ca fonctionne comme ça dans toutes les suites (ou presque) le 19/01/2011 à 19:41