L’année 2015 s’est achevée récemment, le moment est donc bien choisi pour faire une rétrospective de ce qui s’est passé l’année dernière en matière de sécurité. Les chercheurs en sécurité indépendants, les entreprises de cybersécurité et des éditeurs de logiciels ont signalé au courant de l’année diverses failles dans la sécurité et ont demandé un identifiant CVE (Common Vulnerabilities and Exposures) lorsque cela était nécessaire. Par la suite, ces identifiants CVE sont utilisés pour suivre les failles de sécurité en fonction des produits dans le temps.
Selon CVE Details, un site web qui s’occupe de gérer l’inventaire des vulnérabilités en matière de sécurité en se référant aux identifiants CVE, durant l’année écoulée, ce sont les produits Apple qui ont été le plus identifiés par des CVE.
Au total 654 vulnérabilités touchant des produits Apple ont été répertoriées, lui conférant ainsi la première place. Parmi ces vulnérabilités, certaines sont jugées critiques comme la vulnérabilité qui affecte les composantes LaunchServices dans les versions d’iOS antérieures à la version 9.2 et watchOS antérieures à la version 2.1. Cette vulnérabilité qui a été répertoriée au plus haut niveau de l’échelle des vulnérabilités (10) permet à des pirates d'exécuter du code arbitraire dans un contexte privilégié ou de causer un déni de service (corruption de mémoire) via un plist malformé. L’année d’avant, cette place était occupée par IBM avec 455 failles répertoriées au courant de l’année 2014. En 2013 et en 2012, cette place était occupée par Oracle avec respectivement 496 et 380 failles répertoriées. En 2011, c’est Google qui avait porté la couronne avec 295 failles répertoriées. Entre 1999 et 2010, Microsoft s’est emparé du titre à chaque fois.
La seconde place revient à Microsoft qui a vu 571 vulnérabilités répertoriées sur ses produits. Parmi ces vulnérabilités figure une faille affectant Microsoft Word 2003 Service Pack 3, Office 2010 Service Pack 2, Word 2010 Service Pack 2, Word 2013 Service Pack 1, Word 2016, Word 2013 RT Service Pack 1 et Office Compatibility Pack Service Pack 3 qui a été noté 9,3 sur l’échelle des vulnérabilités. Aussi connue sous le nom de « vulnérabilité Microsoft Office RCE », via cette faille, des pirates peuvent exécuter du code arbitraire suite à un message électronique traité par Outlook.
Cisco vient en troisième position avec 488 CVE, Oracle en quatrième position avec 479 CVE, puis Adobe avec 460 CVE, Google avec 323 CVE, IBM avec 312 CVE, Mozilla avec 188 CVE et Canonical avec 153 CVE.
Concernant les produits logiciels, Apple a également pris le titre avec son système d’exploitation OS X pour lequel 384 CVE ont été trouvés, iOS venant en second avec 375 CVE.
Malgré les nombreuses critiques qui ont été formulées à son endroit par l’industrie, mais également au sein de plusieurs communautés de développeurs, ce n’est pas Flash Player qui s’est octroyé la première place dans le classement, mais il est en troisième position avec 316 CVE.
Adobe Air vient en quatrième position avec 246 CVE, puis Internet Explorer avec 231 CVE, Google Chrome avec 187 CVE, Mozilla Firefox avec 178 CVE, Windows Server 2012 avec 155 CVE, Ubuntu avec 152 CVE et Windows 8.1 avec 151 CVE.
Dans les années précédentes, Internet Explorer était en tête (2014) avec 243 CVE, Linux Kernet (2013) avec 189 CVE, Google Chrome (2012, 2011 et 2010) avec 249, 266 et 152 CVE respectivement. Mozilla Firefox (2009) avec 126 CVE, Mozilla Firefox et OS X (2008) tous les deux avec 96 CVE, PHP en 2007 avec 114 CVE, OS X en 2006 avec 106 CVE, Linux Kernel en 2005 avec 133 CVE, Internet Explorer en 2004 avec 59 CVE, Solaris OS en 2003 avec 44 CVE, Internet Explorer en 2002 avec 54 CVE, RedHat Linux en 2001 avec 47 CVE, RedHat Linux à nouveau en 2000 avec 47 CVE, et Windows NT en 1999 avec 64 CVE.
Source : CVE Details
Voir aussi :
Facebook opte pour HTML5 par défaut au détriment de Flash, pour lire des vidéos sur sa plateforme
Adobe prolonge l'aventure Flash avec « Animate CC », le « 1er outil d'animation Web d'Adobe pour développer du contenu HTML5 »
Une faille de sécurité de Flash Player permet de prendre le contrôle de l'ordinateur cible, désinstaller le logiciel est pour le moment la seule issue
Flash n'a pas été le logiciel le plus vulnérable en 2015 malgré les critiques de l'industrie
D'après CVE Details
Flash n'a pas été le logiciel le plus vulnérable en 2015 malgré les critiques de l'industrie
D'après CVE Details
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !