IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Durant la dernière décennie, Windows 10 a eu moins de vulnérabilités que Linux, macOS X et Android
Selon une étude

Le , par Stéphane le calme

227PARTAGES

9  1 
Alors que nous entamons la nouvelle décennie, il est important de garder à l'esprit que votre activité en ligne est surveillée. Certains, comme les agences fédérales, pourraient prétendre le faire pour protéger les citoyens, d’autres, comme les grandes sociétés technologiques (Google, Apple, Facebook, etc.) vont bénéficier financièrement de l’utilisation des données des consommateurs.

Ce que vous faites en ligne est également susceptible d’intéresser les hackers qui visent à pirater vos applications, vos comptes de médias sociaux et, dans certains cas, cherchent à collecter des informations financières. Nous sommes tous vulnérables lorsque nous nous connectons à Internet, mais certains produits technologiques sont plus sujets aux invasions.

Une analyse de la National Vulnerability Database (base de données nationale) de la National Institute of Standards and Technology (l'Institut national des normes et de la technologie) a montré que, si le nombre de vulnérabilités est une indication d'exploitabilité, Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux.


Top 20 des produits avec le plus grand nombre de vulnérabilités techniques sur le temps

Au cours des 20 dernières années, Debian Linux, logiciel libre et convivial, a enregistré 3067 vulnérabilités techniques, ce qui en fait le produit le plus vulnérable. Le produit n'est cependant pas sans défense. Selon son site Web, la communauté qui utilise Debian Linux est « très réactive » et les vulnérabilités sont généralement corrigées en quelques jours. Bien que les résultats de l'analyse montrent que Debian Linux peut être le système d'exploitation le plus problématique, Android a signalé 54 vulnérabilités de plus que Debian Linux en 2019. Cela pourrait être dû au fait que les téléphones Android sont construits avec des applications tierces préinstallées, exposant finalement les utilisateurs à des bogues non contrôlés.

Les trois produits qui ont suivi Android et Debian Linux provenaient tous de Microsoft: Windows Server 2016, Windows 10 et Windows Server 2019.

Windows 10 n'a enregistré que 1111 vulnérabilités techniques, et même si nous ajoutons Windows 10 (sorti en 2015) à Windows 7 (sorti en 2009), le total est encore bien inférieur à Android et Debian Linux. Bien sûr, Microsoft a beaucoup plus de produits que Windows, ce qui signifie que l’éditeur a également une charge de vulnérabilités beaucoup plus importante. C’est d’ailleurs ce que montre le tableau ci-dessous :


Microsoft arrive en tête avec 6814 vulnérabilités signalées collectées au cours de la décennie, mais n'a que 12,9 vulnérabilités par produit, contre 54,4 pour Google et 37,9 pour Apple.

Bien sûr, les chiffres bruts ne racontent pas toute l'histoire, car certaines vulnérabilités sont plus graves que d'autres.


Produits avec l’indice de sévérité de vulnérabilité CVSS le plus élevé de 1999 à 2019

Cela a montré que, sans surprise, Adobe Acrobat et Flashplayer étaient les logiciels les plus dangereux à avoir sur votre PC, bien que Microsoft Office et Internet Explorer n'étaient pas trop loin derrière. L'absence de plateformes plus récentes comme Chrome ou Windows 10 suggère que les entreprises sont devenues mieux à même d'atténuer les vulnérabilités et ont développé une meilleure défense en profondeur.

Les vulnérabilités en 2019

« Il existe différents types de vulnérabilités : certains accordent aux attaquants la possibilité d'accéder à des informations privées, tandis que d'autres activent des commandes indésirables ou bloquent des applications. La faille d'iOS était choquante en raison de la durée de sa non-détection, mais également en raison de sa portée. Les hackers ont exploité "14 failles de sécurité" à l'aide d'une chaîne de code pour collecter des informations sensibles sur les utilisateurs d'iPhone, y compris les mots de passe, mais aussi d'écouter les communications chiffrées.

« L'exécution de code, qui permet à un attaquant d'exécuter des commandes arbitraires, était responsable de plus de 1 vulnérabilité technique sur 4 en 2019, suivie du scriptage intersite (17,7 %). L'exécution de code était également le type de vulnérabilité le plus courant en 2018 et représentait 3041 failles de sécurité.

« Les attaques par déni de service (DoS) n'étaient responsables que d'environ 10% des vulnérabilités des produits en 2019, mais elles étaient plus nombreuses que toutes les autres vulnérabilités en 2017. Cependant, GitHub a connu la plus grande attaque DoS jamais vue en 2018 lorsque son site Web s'est déconnecté pendant environ cinq minutes. C'est peut-être la raison pour laquelle il n'y a eu que 919 attaques DoS en 2019 - les entreprises ont pris note et ont équipé leurs produits des défenses nécessaires.

« Le fractionnement des réponses HTTP est historiquement le type de vulnérabilité technique le moins courant signalé. Cela est probablement dû au fait que les applications parviennent à identifier les valeurs d'entrée étrangères ».



Seulement 894 vulnérabilités techniques ont été signalées en 1999. 20 ans plus tard, ce chiffre a augmenté de près de 14 fois pour atteindre 12.174. Cependant, 2018 a montré le plus grand nombre de vulnérabilités : 16 556. Debian GNU / Linux a contribué de 1197 vulnérabilités, ce qui en fait le produit le plus vulnérable en 2018.

Le rapport note également que si des milliers de vulnérabilités techniques peuvent être alarmantes, des vulnérabilités sont détectées, en moyenne, dans les 197 jours et sont contenues en moyenne dans les 69 jours : « Bien que de tels nombres puissent être alarmants, des vulnérabilités techniques sont détectées, en moyenne, en 197 jours et contenues dans 69, mais une récente violation d'iOS de deux ans affectant des milliers d'iPhone a terrifié les experts. Pourtant, Android avait le plus de vulnérabilités signalées en 2016, 2017 et 2019, tandis qu'iOS ne faisait pas du tout partie de la liste ».

Le principal point à retenir de l'analyse semble être qu’il faut se rassurer d’utiliser la dernière version de la plateforme offerte par votre fournisseur, car elle apporte sans doute des correctifs.

Pour terminer, voici les produits les plus vulnérables par année :

[table="width: 500, class: grid"]
[tr]
[td]Année[/td]
[td]Produit avec le plus de vulnérabilités[/td]
[td]Nombre total de vulnérabilités[/td]
[/tr]
[tr]
[td]1999[/td]
[td]Windows NT[/td]
[td]64[/td]
[/tr]
[tr]
[td]2000[/td]
[td]Linux[/td]
[td]47[/td]
[/tr]
[tr]
[td]2001[/td]
[td]Linux[/td]
[td]47[/td]
[/tr]
[tr]
[td]2002[/td]
[td]Internet Explorer[/td]
[td]54[/td]
[/tr]
[tr]
[td]2003[/td]
[td]Oracle Solaris[/td]
[td]42[/td]
[/tr]
[tr]
[td]2004[/td]
[td]Internet Explorer[/td]
[td]59[/td]
[/tr]
[tr]
[td]2005[/td]
[td]Linux Kernel[/td]
[td]133[/td]
[/tr]
[tr]
[td]2006[/td]
[td]Mac OS X[/td]
[td]106[/td]
[/tr]
[tr]
[td]2007[/td]
[td]PHP[/td]
[td]114[/td]
[/tr]
[tr]
[td]2008[/td]
[td]Mac OS X[/td]
[td]95[/td]
[/tr]
[tr]
[td]2009[/td]
[td]Mozilla Firefox[/td]
[td]126[/td]
[/tr]
[tr]
[td]2010[/td]
[td]Google Chrome[/td]
[td]150[/td]
[/tr]
[tr]
[td]2011[/td]
[td]Google Chrome[/td]
[td]266[/td]
[/tr]
[tr]
[td]2012[/td]
[td]Google Chrome[/td]
[td]249[/td]
[/tr]
[tr]
[td]2013[/td]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de esperanto
Membre émérite https://www.developpez.com
Le 09/03/2020 à 9:56
Citation Envoyé par Stéphane le calme Voir le message
Durant la dernière décennie, Windows 10 a eu moins de vulnérabilités que Linux, macOS X et Android
C'est bien de compter sur une décennie pour un système qui a été publié en 2015...
Et puis pour Linux, vu que c'est Open Source, il y a peut-être plus de facilité à les trouver et surtout une plus grande volonté de les communiquer (combien de vulnérabilités Windows exploitées pendant des années par la NSA avant de les dévoiler? ah non pardon ça ce ne sont pas des vulnérabilités mais des fonctionnalités...)
25  1 
Avatar de Fleur en plastique
Membre extrêmement actif https://www.developpez.com
Le 09/03/2020 à 10:10
Encore une fois on compare les torchons et les serviettes.

Debian Linux est un système d'exploitation complet avec de très nombreuses applications.
Windows 10 est seulement un système d'exploitation.

Du coup si on compte les vulnérabilités d'un système complet avec toutes ses applications, que cela fasse plus que celles d'un système d'exploitation seul, ça ne me choque pas, au contraire.

De plus, Windows 10 oblige tous les 6 mois à télécharger plusieurs Go d'une mise à jour géante, ce qui n'est pas le cas avec un système comme Debian Linux.

Ensuite, ici on décompte que les vulnérabilités, pas les vulnérabilités corrigées. Windows a comporté longtemps des vulnérabilités pour lesquelles il a fallu attendre longtemps un correctif (heureusement, cette situation s'est très nettement améliorée). D'un autre côté, Android sera automatiquement plus vulnérable que les deux autres, à cause de sa fragmentation et son support au bon vouloir des milliers de constructeurs de périphériques.

Du coup je ne trouve pas cette étude très pertinente. Utile pour vendre du Windows, mais qui ne reflète pas vraiment la réalité du "suis-je en danger avec mon OS ?".
15  0 
Avatar de gabriel21
Membre chevronné https://www.developpez.com
Le 09/03/2020 à 10:16
"Le langage des chiffres a ceci de commun avec le langage des fleurs : on peut lui faire dire ce que l'on veut. Permettez moi de préférer le langage des hommes." Le Président, réplique de Gabin à l'assemblé.

Ce type d'étude est entièrement faussé, puisqu'elle part du principe que chaque faille connu est signalée. Si cela est globalement vrai dans le monde du logiciel libre, nous ne pouvons pas avoir de certitude pour le monde des logiciels privés.

Avec ce type d'étude, on peut lancer une belle bagarre du type les logiciels libres sont tous pourris, achetez donc des logiciels propriétaires.
Bref un beau troll du vendredi. Ah mince, nous sommes lundi, la semaine va être longue...
11  0 
Avatar de vmagnin
Membre éprouvé https://www.developpez.com
Le 09/03/2020 à 10:49
"Debian est bien plus qu'un simple système d'exploitation : il est fourni avec plus de 59000 paquets" (https://www.debian.org/)

Pour comparer avec Windows, il faudrait donc en gros prendre Windows + tout l'ecosystème logiciel tournant sous Windows... D'ailleurs, ça inclurait pas mal de logiciels libres disponibles à la fois pour Debian et Windows.
9  1 
Avatar de Kearz
Membre expert https://www.developpez.com
Le 09/03/2020 à 11:07
En attendant, l'important c'est juste de retenir : il y a des failles partout.
Que ça soit Windows / Linux / Android / ... *: il est impossible de se prémunir de toutes les failles.

Du coup, utilisez l'OS qui vous fait plaisir et mettez-le à jour.
8  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 09/03/2020 à 12:25
Sachant que de surcroît la gravité des vulnérabilités n'est pas prise en compte…
6  0 
Avatar de ztor1
Membre averti https://www.developpez.com
Le 09/03/2020 à 10:38
Bonjour,

Peut-être rajouter la notion de nombre de PC impacté et le niveau de connaissance/compétance des utilisateurs

Soit un OS avec 100 failles et présent sur 10.000 de PC pour des utilisateurs avertis et capable de prendre des contre-mesures rapides et efficaces
Soit un OS avec 50 failles et présent sur 10.000.000 de PC pour des utilisateurs lambda et incapable de prendre des contre-mesures rapides et efficaces

Pour une faille de même niveau de sécurité, les impacts seront, je pense, bien différents.

Et l'on peux ainsi rajouter de multiples critères d'analyse.

@+
4  0 
Avatar de J_CHAIX
Membre à l'essai https://www.developpez.com
Le 09/03/2020 à 11:33
Quand je lis Debian depuis 1999, j'en conclue que la NVD prend toutes les versions.
Et si on fais la même chose avec Microsoft, ça crève le plafond, parce que depuis Win2000, des failles y'en a eu.
En plus je lis que Firefox est dans le top 10, ..., et internet explorer...
Mouais, un poisson d'avril en avance.
5  1 
Avatar de Axel Mattauch
Membre averti https://www.developpez.com
Le 14/03/2020 à 12:31
Citation Envoyé par esperanto Voir le message
C'est bien de compter sur une décennie pour un système qui a été publié en 2015...
Et puis pour Linux, vu que c'est Open Source, il y a peut-être plus de facilité à les trouver et surtout une plus grande volonté de les communiquer (combien de vulnérabilités Windows exploitées pendant des années par la NSA avant de les dévoiler? ah non pardon ça ce ne sont pas des vulnérabilités mais des fonctionnalités...)
L'article est parfaitement clair sur les chiffres. Windows10 est crédité de 1,111 vulnérabilités sur 2015-2019, soit en le ramenant sur une décennie: 2,222 à 2,777 vulnérabilités (selon que l'on considère que la période d'existence effective de W10 soit de 5 ou 4 ans). Donc au top4 des systèmes comportant le plus de vulnérabilités. Ordre de grandeur corroboré par la table concernant 2019 (top4 & 357*10 = 3,570 vulnérabilités/décennie).

De ce point de vue, je trouve aussi que la mention "Windows 10 semble être beaucoup plus sûr qu'Android, Mac OS ou Linux" est pour le moins hâtive.

De fait, comme plusieurs commentateurs, je pense qu'il faut prendre ces chiffres pour ce qu'ils sont, c'est à dire des indicateurs. Un indicateur n'est pas, n'a jamais été et ne sera jamais une mesure. Je me solidarise avec tous les commentaires mettant en cause l'excès d'interprétation de chiffres (confer: il existe 3 sortes de mensonges: les petits mensonges, les gros mensonges et les statistiques) notamment pour comparer des "systèmes" disparates en périmètre, en fonctionnalités etc.
D'ailleurs, il manque dans cette analyse ce qui serait le plus signifiant pour l'exploitation d'un tel indicateur: l'évolution du nombre de vulnérabilités d'un système donné année après année (en faisant la distinction entre les vulnérabilités résiduelles -non traitées- et les nouvelles vulnérabilités découvertes dans l'année).
2  0 
Avatar de Kuki el gato
Membre régulier https://www.developpez.com
Le 15/03/2020 à 1:04
Encore faudrait il parler des vulnérabilités exploitées réellement, sur quels système l'ont elles été et quelles furent les conséquences réelles, et au bout de combien de temps leur a t'on apporté une solution.
1  0