Durant la dernière décennie, Windows 10 a eu moins de vulnérabilités que Linux, macOS X et Android

Selon une étude

Alors que nous entamons la nouvelle décennie, il est important de garder à l'esprit que votre activité en ligne est surveillée. Certains, comme les agences fédérales, pourraient prétendre le faire pour protéger les citoyens, d’autres, comme les grandes sociétés technologiques (Google, Apple, Facebook, etc.) vont bénéficier financièrement de l’utilisation des données des consommateurs.

Ce que vous faites en ligne est également susceptible d’intéresser les hackers qui visent à pirater vos applications, vos comptes de médias sociaux et, dans certains cas, cherchent à collecter des informations financières. Nous sommes tous vulnérables lorsque nous nous connectons à Internet, mais certains produits technologiques sont plus sujets aux invasions.

Une analyse de la National Vulnerability Database (base de données nationale) de la National Institute of Standards and Technology (l'Institut national des normes et de la technologie) a montré que, si le nombre de vulnérabilités est une indication d'exploitabilité, Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux.


Au cours des 20 dernières années, Debian Linux, logiciel libre et convivial, a enregistré 3067 vulnérabilités techniques, ce qui en fait le produit le plus vulnérable. Le produit n'est cependant pas sans défense. Selon son site Web, la communauté qui utilise Debian Linux est « très réactive » et les vulnérabilités sont généralement corrigées en quelques jours. Bien que les résultats de l'analyse montrent que Debian Linux peut être le système d'exploitation le plus problématique, Android a signalé 54 vulnérabilités de plus que Debian Linux en 2019. Cela pourrait être dû au fait que les téléphones Android sont construits avec des applications tierces préinstallées, exposant finalement les utilisateurs à des bogues non contrôlés.

Les trois produits qui ont suivi Android et Debian Linux provenaient tous de Microsoft: Windows Server 2016, Windows 10 et Windows Server 2019.

Windows 10 n'a enregistré que 1111 vulnérabilités techniques, et même si nous ajoutons Windows 10 (sorti en 2015) à Windows 7 (sorti en 2009), le total est encore bien inférieur à Android et Debian Linux. Bien sûr, Microsoft a beaucoup plus de produits que Windows, ce qui signifie que l’éditeur a également une charge de vulnérabilités beaucoup plus importante. C’est d’ailleurs ce que montre le tableau ci-dessous :


Microsoft arrive en tête avec 6814 vulnérabilités signalées collectées au cours de la décennie, mais n'a que 12,9 vulnérabilités par produit, contre 54,4 pour Google et 37,9 pour Apple.

Bien sûr, les chiffres bruts ne racontent pas toute l'histoire, car certaines vulnérabilités sont plus graves que d'autres.


Cela a montré que, sans surprise, Adobe Acrobat et Flashplayer étaient les logiciels les plus dangereux à avoir sur votre PC, bien que Microsoft Office et Internet Explorer n'étaient pas trop loin derrière. L'absence de plateformes plus récentes comme Chrome ou Windows 10 suggère que les entreprises sont devenues mieux à même d'atténuer les vulnérabilités et ont développé une meilleure défense en profondeur.

Les vulnérabilités en 2019

« Il existe différents types de vulnérabilités : certains accordent aux attaquants la possibilité d'accéder à des informations privées, tandis que d'autres activent des commandes indésirables ou bloquent des applications. La faille d'iOS était choquante en raison de la durée de sa non-détection, mais également en raison de sa portée. Les hackers ont exploité "14 failles de sécurité" à l'aide d'une chaîne de code pour collecter des informations sensibles sur les utilisateurs d'iPhone, y compris les mots de passe, mais aussi d'écouter les communications chiffrées.

« L'exécution de code, qui permet à un attaquant d'exécuter des commandes arbitraires, était responsable de plus de 1 vulnérabilité technique sur 4 en 2019, suivie du scriptage intersite (17,7 %). L'exécution de code était également le type de vulnérabilité le plus courant en 2018 et représentait 3041 failles de sécurité.

« Les attaques par déni de service (DoS) n'étaient responsables que d'environ 10% des vulnérabilités des produits en 2019, mais elles étaient plus nombreuses que toutes les autres vulnérabilités en 2017. Cependant, GitHub a connu la plus grande attaque DoS jamais vue en 2018 lorsque son site Web s'est déconnecté pendant environ cinq minutes. C'est peut-être la raison pour laquelle il n'y a eu que 919 attaques DoS en 2019 - les entreprises ont pris note et ont équipé leurs produits des défenses nécessaires.

« Le fractionnement des réponses HTTP est historiquement le type de vulnérabilité technique le moins courant signalé. Cela est probablement dû au fait que les applications parviennent à identifier les valeurs d'entrée étrangères ».


Seulement 894 vulnérabilités techniques ont été signalées en 1999. 20 ans plus tard, ce chiffre a augmenté de près de 14 fois pour atteindre 12.174. Cependant, 2018 a montré le plus grand nombre de vulnérabilités : 16 556. Debian GNU / Linux a contribué de 1197 vulnérabilités, ce qui en fait le produit le plus vulnérable en 2018.

Le rapport note également que si des milliers de vulnérabilités techniques peuvent être alarmantes, des vulnérabilités sont détectées, en moyenne, dans les 197 jours et sont contenues en moyenne dans les 69 jours : « Bien que de tels nombres puissent être alarmants, des vulnérabilités techniques sont détectées, en moyenne, en 197 jours et contenues dans 69, mais une récente violation d'iOS de deux ans affectant des milliers d'iPhone a terrifié les experts. Pourtant, Android avait le plus de vulnérabilités signalées en 2016, 2017 et 2019, tandis qu'iOS ne faisait pas du tout partie de la liste ».

Le principal point à retenir de l'analyse semble être qu’il faut se rassurer d’utiliser la dernière version de la plateforme offerte par votre fournisseur, car elle apporte sans doute des correctifs.

Pour terminer, voici les produits les plus vulnérables par année :

[table="width: 500, class: grid"]
[tr]
[td]Année[/td]
[td]Produit avec le plus de vulnérabilités[/td]
[td]Nombre total de vulnérabilités[/td]
[/tr]
[tr]
[td]1999[/td]
[td]Windows NT[/td]
[td]64[/td]
[/tr]
[tr]
[td]2000[/td]
[td]Linux[/td]
[td]47[/td]
[/tr]
[tr]
[td]2001[/td]
[td]Linux[/td]
[td]47[/td]
[/tr]
[tr]
[td]2002[/td]
[td]Internet Explorer[/td]
[td]54[/td]
[/tr]
[tr]
[td]2003[/td]
[td]Oracle Solaris[/td]
[td]42[/td]
[/tr]
[tr]
[td]2004[/td]
[td]Internet Explorer[/td]
[td]59[/td]
[/tr]
[tr]
[td]2005[/td]
[td]Linux Kernel[/td]
[td]133[/td]
[/tr]
[tr]
[td]2006[/td]
[td]Mac OS X[/td]
[td]106[/td]
[/tr]
[tr]
[td]2007[/td]
[td]PHP[/td]
[td]114[/td]
[/tr]
[tr]
[td]2008[/td]
[td]Mac OS X[/td]
[td]95[/td]
[/tr]
[tr]
[td]2009[/td]
[td]Mozilla Firefox[/td]
[td]126[/td]
[/tr]
[tr]
[td]2010[/td]
[td]Google Chrome[/td]
[td]150[/td]
[/tr]
[tr]
[td]2011[/td]
[td]Google Chrome[/td]
[td]266[/td]
[/tr]
[tr]
[td]2012[/td]
[td]Google Chrome[/td]
[td]249[/td]
[/tr]
[tr]
[td]2013[/td]...