Ce que vous faites en ligne est également susceptible d’intéresser les hackers qui visent à pirater vos applications, vos comptes de médias sociaux et, dans certains cas, cherchent à collecter des informations financières. Nous sommes tous vulnérables lorsque nous nous connectons à Internet, mais certains produits technologiques sont plus sujets aux invasions.
Une analyse de la National Vulnerability Database (base de données nationale) de la National Institute of Standards and Technology (l'Institut national des normes et de la technologie) a montré que, si le nombre de vulnérabilités est une indication d'exploitabilité, Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux.
Top 20 des produits avec le plus grand nombre de vulnérabilités techniques sur le temps
Au cours des 20 dernières années, Debian Linux, logiciel libre et convivial, a enregistré 3067 vulnérabilités techniques, ce qui en fait le produit le plus vulnérable. Le produit n'est cependant pas sans défense. Selon son site Web, la communauté qui utilise Debian Linux est « très réactive » et les vulnérabilités sont généralement corrigées en quelques jours. Bien que les résultats de l'analyse montrent que Debian Linux peut être le système d'exploitation le plus problématique, Android a signalé 54 vulnérabilités de plus que Debian Linux en 2019. Cela pourrait être dû au fait que les téléphones Android sont construits avec des applications tierces préinstallées, exposant finalement les utilisateurs à des bogues non contrôlés.
Les trois produits qui ont suivi Android et Debian Linux provenaient tous de Microsoft: Windows Server 2016, Windows 10 et Windows Server 2019.
Windows 10 n'a enregistré que 1111 vulnérabilités techniques, et même si nous ajoutons Windows 10 (sorti en 2015) à Windows 7 (sorti en 2009), le total est encore bien inférieur à Android et Debian Linux. Bien sûr, Microsoft a beaucoup plus de produits que Windows, ce qui signifie que l’éditeur a également une charge de vulnérabilités beaucoup plus importante. C’est d’ailleurs ce que montre le tableau ci-dessous :
Microsoft arrive en tête avec 6814 vulnérabilités signalées collectées au cours de la décennie, mais n'a que 12,9 vulnérabilités par produit, contre 54,4 pour Google et 37,9 pour Apple.
Bien sûr, les chiffres bruts ne racontent pas toute l'histoire, car certaines vulnérabilités sont plus graves que d'autres.
Produits avec l’indice de sévérité de vulnérabilité CVSS le plus élevé de 1999 à 2019
Cela a montré que, sans surprise, Adobe Acrobat et Flashplayer étaient les logiciels les plus dangereux à avoir sur votre PC, bien que Microsoft Office et Internet Explorer n'étaient pas trop loin derrière. L'absence de plateformes plus récentes comme Chrome ou Windows 10 suggère que les entreprises sont devenues mieux à même d'atténuer les vulnérabilités et ont développé une meilleure défense en profondeur.
Les vulnérabilités en 2019
« Il existe différents types de vulnérabilités : certains accordent aux attaquants la possibilité d'accéder à des informations privées, tandis que d'autres activent des commandes indésirables ou bloquent des applications. La faille d'iOS était choquante en raison de la durée de sa non-détection, mais également en raison de sa portée. Les hackers ont exploité "14 failles de sécurité" à l'aide d'une chaîne de code pour collecter des informations sensibles sur les utilisateurs d'iPhone, y compris les mots de passe, mais aussi d'écouter les communications chiffrées.
« L'exécution de code, qui permet à un attaquant d'exécuter des commandes arbitraires, était responsable de plus de 1 vulnérabilité technique sur 4 en 2019, suivie du scriptage intersite (17,7 %). L'exécution de code était également le type de vulnérabilité le plus courant en 2018 et représentait 3041 failles de sécurité.
« Les attaques par déni de service (DoS) n'étaient responsables que d'environ 10% des vulnérabilités des produits en 2019, mais elles étaient plus nombreuses que toutes les autres vulnérabilités en 2017. Cependant, GitHub a connu la plus grande attaque DoS jamais vue en 2018 lorsque son site Web s'est déconnecté pendant environ cinq minutes. C'est peut-être la raison pour laquelle il n'y a eu que 919 attaques DoS en 2019 - les entreprises ont pris note et ont équipé leurs produits des défenses nécessaires.
« Le fractionnement des réponses HTTP est historiquement le type de vulnérabilité technique le moins courant signalé. Cela est probablement dû au fait que les applications parviennent à identifier les valeurs d'entrée étrangères ».
Seulement 894 vulnérabilités techniques ont été signalées en 1999. 20 ans plus tard, ce chiffre a augmenté de près de 14 fois pour atteindre 12.174. Cependant, 2018 a montré le plus grand nombre de vulnérabilités : 16 556. Debian GNU / Linux a contribué de 1197 vulnérabilités, ce qui en fait le produit le plus vulnérable en 2018.
Le rapport note également que si des milliers de vulnérabilités techniques peuvent être alarmantes, des vulnérabilités sont détectées, en moyenne, dans les 197 jours et sont contenues en moyenne dans les 69 jours : « Bien que de tels nombres puissent être alarmants, des vulnérabilités techniques sont détectées, en moyenne, en 197 jours et contenues dans 69, mais une récente violation d'iOS de deux ans affectant des milliers d'iPhone a terrifié les experts. Pourtant, Android avait le plus de vulnérabilités signalées en 2016, 2017 et 2019, tandis qu'iOS ne faisait pas du tout partie de la liste ».
Le principal point à retenir de l'analyse semble être qu’il faut se rassurer d’utiliser la dernière version de la plateforme offerte par votre fournisseur, car elle apporte sans doute des correctifs.
Pour terminer, voici les produits les plus vulnérables par année :
Année | Produit avec le plus de vulnérabilités | Nombre total de vulnérabilités |
1999 | Windows NT | 64 |
2000 | Linux | 47 |
2001 | Linux | 47 |
2002 | Internet Explorer | 54 |
2003 | Oracle Solaris | 42 |
2004 | Internet Explorer | 59 |
2005 | Linux Kernel | 133 |
2006 | Mac OS X | 106 |
2007 | PHP | 114 |
2008 | Mac OS X | 95 |
2009 | Mozilla Firefox | 126 |
2010 | Google Chrome | 150 |
2011 | Google Chrome | 266 |
2012 | Google Chrome | 249 |
2013 | Linux Kernel | 189 |
2014 | Internet Explorer | 243 |
2015 | Mac OS X | 444 |
2016 | Android | 525 |
2017 | Android | 843 |
2018 | Debian GNU/Linux | 1197 |
2019 | Android | 414 |
Méthodologie
« En utilisant les données de la base de données nationale sur la vulnérabilité du National Institute of Standards and Technology, à laquelle nous avons accédé via la base de données de sécurité CVE Details, nous avons exploré les vulnérabilités techniques d'un certain nombre de fournisseurs de technologies et de produits de consommation.
« Les données étaient disponibles pour chaque année de 1999 à 2019. Les données pour 2019 ont été extraites le 2 janvier 2020 et comprenaient des données pour chaque mois de cette année civile. Étant donné que la base de données est constamment mise à jour, il est possible que les chiffres présentés aient changé.
« La base de données a examiné 13 types de vulnérabilités techniques. Nous avons inclus tous les types dans notre analyse des données. Il convient de noter que d'autres sources peuvent décrire ou nommer les types de vulnérabilités légèrement différemment. Nous avons choisi de garder les noms de types cohérents avec ceux de la base de données accessibles via CVE Details.
« Le calcul des vulnérabilités par produit a été effectué en divisant le nombre total de vulnérabilités d'un fournisseur par le nombre de produits signalés fabriqués par le fournisseur. Le calcul a été effectué dans la base de données. Cependant, nous avons recréé le calcul et arrondi les nombres vers le haut, tandis que la base de données arrondissait les valeurs calculées vers le bas. Par conséquent, les chiffres présentés ici peuvent différer légèrement de la base de données.
« Lorsque l'on regarde des produits spécifiques, les listes des meilleurs produits pour les vulnérabilités ont été calculées par la base de données. Nous avons choisi d'afficher les 20 premiers dans nos représentations finales des données, à l'exception des scores CVSS où nous avons inclus les 25 premiers.
« Avec les listes de produits, il est important de noter que certains produits sont définis plusieurs fois avec des noms différents dans la base de données. Par conséquent, nos listes peuvent contenir le même produit sous des noms différents.
« Enfin, nous avons examiné le risque posé par les vulnérabilités des produits. Cela a été fait en utilisant le système Common Vulnerability Scoring System (CVSS). Les vulnérabilités reçoivent un score de 0 à 10 basé sur plusieurs métriques.
« La base de données a fourni des moyennes pondérées CVSS pour les 50 principaux produits par le nombre total de vulnérabilités distinctes. Notre représentation finale montre les 25 meilleurs produits avec les moyennes pondérées CVSS les plus élevées ».
Source : rapport
Et vous ?
Quelle lecture faites-vous de ces statistiques ?