Février 2012
Sécurité : le bonnet d'âne pour Apple
par Christophe Laporte le 13.07.2010 à 16:39
Sur le front de la sécurité, la dernière étude de Secunia [format PDF] portant sur le premier semestre 2010 n'est guère favorable à Apple. En effet, pour la première fois, la firme de Cupertino est en tête du classement des sociétés dont les produits contiennent le plus de vulnérabilités. Elle chipe la première place à Oracle, qui faisait la course seule en tête depuis 2006.
Derrière Apple et Oracle, on retrouve dans l'ordre Microsoft, HP, Adobe, IBM, VMware, Cisco, Google et Mozilla. Les auteurs de l'étude insistent également sur le fait que Microsoft est dans ses différentes études constamment mieux classée qu'Apple depuis 2006.
De manière générale, malgré de gros investissements, les sept entreprises en tête de ce classement ne parviennent pas à réduire au fil du temps le nombre de vulnérabilités découvertes dans leurs solutions : il s'agit d'un jeu du chat et de la souris éternel, où les failles bouchées sont remplacées par de nouvelles vulnérabilités.
Autre constatation de Secunia, le danger vient de plus en plus des logiciels tiers, qui sont potentiellement plus dangereux pour l'utilisateur que le système d'exploitation lui-même. En 2009, un PC équipé des 50 applications les plus populaires comportait 420 vulnérabilités, soit 200 de plus qu'en 2007.
Quels sont les logiciels non Microsoft pour lesquels le plus grand nombre de failles ont été trouvées ? Là encore, le constat n'est pas très flatteur pour la firme de Cupertino. Safari se classe deuxième avec 84 vulnérabilités, juste derrière Firefox (96), mais devant Java (70). iTunes, pour sa part, arrive en neuvième position avec 48 failles recensées.
Flash qui a été tant décrié sur ce point par Steve Jobs, se classe septième avec 51 failles recensées. Cependant, la situation n'est pas non plus catastrophique pour Apple. Car si elle présente un nombre de failles élevées, celles-ci sont en moyenne assez mineures.
Cependant, cette problématique n'est pas à prendre à la légère par Apple. Plus un produit est populaire, plus il retient l'attention des hackers. La manière dont la firme de Cupertino traite les problèmes de sécurité a souvent été critiquée par les experts, qui pointent notamment son manque de communication et de réactivité.
Derrière Apple et Oracle, on retrouve dans l'ordre Microsoft, HP, Adobe, IBM, VMware, Cisco, Google et Mozilla. Les auteurs de l'étude insistent également sur le fait que Microsoft est dans ses différentes études constamment mieux classée qu'Apple depuis 2006.
De manière générale, malgré de gros investissements, les sept entreprises en tête de ce classement ne parviennent pas à réduire au fil du temps le nombre de vulnérabilités découvertes dans leurs solutions : il s'agit d'un jeu du chat et de la souris éternel, où les failles bouchées sont remplacées par de nouvelles vulnérabilités.
Autre constatation de Secunia, le danger vient de plus en plus des logiciels tiers, qui sont potentiellement plus dangereux pour l'utilisateur que le système d'exploitation lui-même. En 2009, un PC équipé des 50 applications les plus populaires comportait 420 vulnérabilités, soit 200 de plus qu'en 2007.
Quels sont les logiciels non Microsoft pour lesquels le plus grand nombre de failles ont été trouvées ? Là encore, le constat n'est pas très flatteur pour la firme de Cupertino. Safari se classe deuxième avec 84 vulnérabilités, juste derrière Firefox (96), mais devant Java (70). iTunes, pour sa part, arrive en neuvième position avec 48 failles recensées.
Flash qui a été tant décrié sur ce point par Steve Jobs, se classe septième avec 51 failles recensées. Cependant, la situation n'est pas non plus catastrophique pour Apple. Car si elle présente un nombre de failles élevées, celles-ci sont en moyenne assez mineures.
Cependant, cette problématique n'est pas à prendre à la légère par Apple. Plus un produit est populaire, plus il retient l'attention des hackers. La manière dont la firme de Cupertino traite les problèmes de sécurité a souvent été critiquée par les experts, qui pointent notamment son manque de communication et de réactivité.
|
2
1
Vos réactions (29 réactions)
Hindifarai
[13/07/2010 17:13]
Très bon article. Dommage que le facteur "temps d'exposition" ne soit pas traité dans l'étude de secunia.
Très bon article. Dommage que le facteur "temps d'exposition" ne soit pas traité dans l'étude de secunia.
Liocec
[13/07/2010 17:15]
via MacG Mobile
Du vrai n'importe quoi...qui peut bien classer par nombre de failles sans tenir compte de la dangerosité ?
Honte à Secunia, une boite qui ne devrait même pas exister, elle porte atteinte à la réputation de société sans en assumer les conséquences.
Pour faire un vrai classement, il faut attribuer un nombre de points par dangerosité, calculer le nombre de failles par dangerosité et diviser par le nombre d'utilisateurs du produit avec faille.
Il est préférable d'avoir un produit avec 50 micro-failles qu'avec 5 grosses failles !
Un produit utiliser par personne d'une part ne nuis à personne, d'autre part n'est pas mis à jour par l'éditeur.
Du vrai n'importe quoi...qui peut bien classer par nombre de failles sans tenir compte de la dangerosité ?
Honte à Secunia, une boite qui ne devrait même pas exister, elle porte atteinte à la réputation de société sans en assumer les conséquences.
Pour faire un vrai classement, il faut attribuer un nombre de points par dangerosité, calculer le nombre de failles par dangerosité et diviser par le nombre d'utilisateurs du produit avec faille.
Il est préférable d'avoir un produit avec 50 micro-failles qu'avec 5 grosses failles !
Un produit utiliser par personne d'une part ne nuis à personne, d'autre part n'est pas mis à jour par l'éditeur.
osidrys
[13/07/2010 17:19]
Il serait plus intéressant de connaître le nombre de failles majeures parce que les failles mineures n'intéressent pas les pirates et autres. Il y a peu de résultats en les utilisant. De toute façon, ces études sont des indicateurs à prendre avec des pincettes pour les non spécialistes. Et encore une fois, le danger vient surtout des utilisateurs. Il ne faut pas rêver si un utilisateur pirate des logiciel, visite des sites frauduleux, installe n'importe quoi, ... il lui arrivera des bricoles sur sa machine qu'elle soit Apple ou autre.
Il serait plus intéressant de connaître le nombre de failles majeures parce que les failles mineures n'intéressent pas les pirates et autres. Il y a peu de résultats en les utilisant. De toute façon, ces études sont des indicateurs à prendre avec des pincettes pour les non spécialistes. Et encore une fois, le danger vient surtout des utilisateurs. Il ne faut pas rêver si un utilisateur pirate des logiciel, visite des sites frauduleux, installe n'importe quoi, ... il lui arrivera des bricoles sur sa machine qu'elle soit Apple ou autre.
hok
[13/07/2010 17:42]
Le nombre de faille est la plus nulle des métrique pour mesurer la sécurité d'un logiciel. Il faudrait plutot parler de nombre de jours exposé, de sévérité, d'exploitation des failles, de nombre d'infection. Bref la c'est la facilité. Apple est bcp atteins car ils utilisent bcp de composant libre de plus microsoft patch plusieurs faille en 1 fois dans en déclarer plusieurs, mais du à la nature ouverte de bpc de produit utilisé par Apple ce n'est pas possible. Bref pas sérieux, encore une fois.
Le nombre de faille est la plus nulle des métrique pour mesurer la sécurité d'un logiciel. Il faudrait plutot parler de nombre de jours exposé, de sévérité, d'exploitation des failles, de nombre d'infection. Bref la c'est la facilité. Apple est bcp atteins car ils utilisent bcp de composant libre de plus microsoft patch plusieurs faille en 1 fois dans en déclarer plusieurs, mais du à la nature ouverte de bpc de produit utilisé par Apple ce n'est pas possible. Bref pas sérieux, encore une fois.
Hindifarai
[13/07/2010 17:45]
@ Liocec && osidrys
Secunia n'est pas une boîte d'amateurs en sécurité. Le site est par exemple plus reconnu dans le domaine de la sécurité que celui proné par les administrations françaises... Les graphiques ne sont pas à prendre de manière isolés, il faut considérer l'ensemble. Certains sont manquants comme le temps de patch(le plus gros manque de ne mon point de vue). Pour ce qui est de la sévérité des failles le point est traité au niveau macroscopique. Pour les détails ils sont tous présents sur leur site, il n'y a pas de stats mais chaque faille a une évaluation de criticité. L'étude ne se veut pas exhaustive, on ne traite pas intégralement de la sécurité informatique en 19 pages.
Pour ceux qui voudraient creuser sur les stats de sécurité d'osx en 2010 :
http://secunia.com/advisories/product/96/?task=statistics_2010
(à noter qu'il manque toujours la notion du temps d'exposition)
@ Liocec && osidrys
Secunia n'est pas une boîte d'amateurs en sécurité. Le site est par exemple plus reconnu dans le domaine de la sécurité que celui proné par les administrations françaises... Les graphiques ne sont pas à prendre de manière isolés, il faut considérer l'ensemble. Certains sont manquants comme le temps de patch(le plus gros manque de ne mon point de vue). Pour ce qui est de la sévérité des failles le point est traité au niveau macroscopique. Pour les détails ils sont tous présents sur leur site, il n'y a pas de stats mais chaque faille a une évaluation de criticité. L'étude ne se veut pas exhaustive, on ne traite pas intégralement de la sécurité informatique en 19 pages.
Pour ceux qui voudraient creuser sur les stats de sécurité d'osx en 2010 :
http://secunia.com/advisories/product/96/?task=statistics_2010
(à noter qu'il manque toujours la notion du temps d'exposition)
jabial
[13/07/2010 17:53]
Le gros souci d'Apple c'est le temps de réaction. Il est simplement inacceptable, y compris pour des failles vraiment dangereuses. Et oui, quand on fournit un navigateur qui est tellement intégré à l'OS qu'il faut redémarre pour le mettre à jour (une hérésie absolue introduite par... Microsoft et imitée par Apple), on est responsable de ses failles comme si c'étaient des failles de l'OS.
Comment peut-on mettre des mac en entreprise en sachant qu'une faille AppleScript connue et utilisable par un novice, permettant de passer root depuis l'application Terminal, a mis plus d'un mois a être corrigée ? Dans le monde pro c'est totalement disqualifiant. Et même pour un particulier, ce n'est pas rassurant : ça veut dire qu'il suffit de trouver une faille du navigateur, et hop, droits root immédiats alors que normalement c'est la partie la plus dure de l'exploitation d'une faille.
Une entreprise n'a pas toujours des admins à même de faire à la main ce qu'Apple devrait faire via l'application Mise à Jour de Logiciels. Microsoft était le champion de la lenteur de correction, il a été dépassé. Sous Linux on a généralement un patch dans le quart d'heure qui suit la diffusion d'une faille, et une version stable le jour suivant.
Mais comme désormais les gens qui dévoilent les failles au grand public peuvent être poursuivis en justice, pendant que les pirates les exploitent déjà depuis longtemps, les éditeurs de logiciels peuvent dormir sur leurs deux oreilles.
Le gros souci d'Apple c'est le temps de réaction. Il est simplement inacceptable, y compris pour des failles vraiment dangereuses. Et oui, quand on fournit un navigateur qui est tellement intégré à l'OS qu'il faut redémarre pour le mettre à jour (une hérésie absolue introduite par... Microsoft et imitée par Apple), on est responsable de ses failles comme si c'étaient des failles de l'OS.
Comment peut-on mettre des mac en entreprise en sachant qu'une faille AppleScript connue et utilisable par un novice, permettant de passer root depuis l'application Terminal, a mis plus d'un mois a être corrigée ? Dans le monde pro c'est totalement disqualifiant. Et même pour un particulier, ce n'est pas rassurant : ça veut dire qu'il suffit de trouver une faille du navigateur, et hop, droits root immédiats alors que normalement c'est la partie la plus dure de l'exploitation d'une faille.
Une entreprise n'a pas toujours des admins à même de faire à la main ce qu'Apple devrait faire via l'application Mise à Jour de Logiciels. Microsoft était le champion de la lenteur de correction, il a été dépassé. Sous Linux on a généralement un patch dans le quart d'heure qui suit la diffusion d'une faille, et une version stable le jour suivant.
Mais comme désormais les gens qui dévoilent les failles au grand public peuvent être poursuivis en justice, pendant que les pirates les exploitent déjà depuis longtemps, les éditeurs de logiciels peuvent dormir sur leurs deux oreilles.
Moonwalker
[13/07/2010 18:14]
Secunia...
Qu'ils pensent d'abords à mettre leurs stats à jour. Ils ne font le plus souvent que collecter les failles quand elles sont mentionnées dans les mises à jour de sécurité d'Apple et des autres. Très mal parce qu'ils oublient souvent de signaler une faille comblée depuis belle lurette. Un simple rumeur, sans proof of concept fait parfois office de "faille", l'important étant d'alimenter le camembert.
Il n'y a aucune expertise chez eux, rien que des graphiques, une succession de dépêches et un classement obscure, qui au bout du compte qui ne veulent rien dire.
Secunia c'est l'inspecteur des travaux finis.
@ jabial : retourne à l'école. Et si elle est fermée, prends des cours de rattrapage. Même en troll t'es zéro pointé.
Secunia...
Qu'ils pensent d'abords à mettre leurs stats à jour. Ils ne font le plus souvent que collecter les failles quand elles sont mentionnées dans les mises à jour de sécurité d'Apple et des autres. Très mal parce qu'ils oublient souvent de signaler une faille comblée depuis belle lurette. Un simple rumeur, sans proof of concept fait parfois office de "faille", l'important étant d'alimenter le camembert.
Il n'y a aucune expertise chez eux, rien que des graphiques, une succession de dépêches et un classement obscure, qui au bout du compte qui ne veulent rien dire.
Secunia c'est l'inspecteur des travaux finis.
@ jabial : retourne à l'école. Et si elle est fermée, prends des cours de rattrapage. Même en troll t'es zéro pointé.
Madalvée
[13/07/2010 18:30]
via MacG Mobile
Le gros point noir est l'abandon des Maj sécurité pour ante-pénultième OS.
Le gros point noir est l'abandon des Maj sécurité pour ante-pénultième OS.
Zed-K
[13/07/2010 18:41]
D'accord avec la plupart des commentaires précédent, le tableau veut tout dire et pas grand chose, un complément d'information/analyse plus profonde (en recoupant avec d'autres données de Secunia et de ses concurrents par exemple) aurait été la bienvenue, l'article est bien succinct, comme souvent...
Sinon la double apparition d'Acrobat (Acrobat et Acrobat Reader) et du Flash Player (Flash Player et AIR) est trompeuse, vu que ce sont des couples de produits dont l'un contient l'autre, il suffit de regarder les chiffres, identiques pour chacuns, pour comprendre.
(Histoire de modérer un peu le commentaire de Calintz, qui comme beaucoup ici s'en donnent à cœur joie dès qu'il s'agit de lyncher Adobe dès que l'occasion se présente - ou pas.)
@ Moonwalker :
Tu peux argumenter un minimum sur ta réponse à jabial, et en quoi son post est un troll ?
Parce qu'autant la faille AppleScript je n'en avais pas connaissance, autant la faille Java qui reste bien au chaud pendant 6 mois alors qu'un correctif était dispo chez Sun, je pense que tout le monde ici s'en souvient (enfin après certains ont des mémoires très sélectives...)
Rien que pour ça son commentaire ne me semble pas relever du troll, du moins pas plus que ta réponse hautaine au possible et sans la moindre contre-argumentation.
On ne demande qu'à partager ton savoir.
D'accord avec la plupart des commentaires précédent, le tableau veut tout dire et pas grand chose, un complément d'information/analyse plus profonde (en recoupant avec d'autres données de Secunia et de ses concurrents par exemple) aurait été la bienvenue, l'article est bien succinct, comme souvent...
Sinon la double apparition d'Acrobat (Acrobat et Acrobat Reader) et du Flash Player (Flash Player et AIR) est trompeuse, vu que ce sont des couples de produits dont l'un contient l'autre, il suffit de regarder les chiffres, identiques pour chacuns, pour comprendre.
(Histoire de modérer un peu le commentaire de Calintz, qui comme beaucoup ici s'en donnent à cœur joie dès qu'il s'agit de lyncher Adobe dès que l'occasion se présente - ou pas.)
@ Moonwalker :
Tu peux argumenter un minimum sur ta réponse à jabial, et en quoi son post est un troll ?
Parce qu'autant la faille AppleScript je n'en avais pas connaissance, autant la faille Java qui reste bien au chaud pendant 6 mois alors qu'un correctif était dispo chez Sun, je pense que tout le monde ici s'en souvient (enfin après certains ont des mémoires très sélectives...)
Rien que pour ça son commentaire ne me semble pas relever du troll, du moins pas plus que ta réponse hautaine au possible et sans la moindre contre-argumentation.
On ne demande qu'à partager ton savoir.
6120
[13/07/2010 18:56]
D'accords avec la plupart des commentaires :
18 ans sur Mac. 2 machines à la maison dont une allumée 24h sur 24 (développeur)
Bilan : 0 virus.
Je ne connais aucune personne dans mon entourage qui puisse en dire autant avec un autre système. Et pourtant je fréquente de nombreux utilisateurs puisque travaillant dans l'informatique.
Le bilan est le même pour tous les amis ou relations qui sont sur Mac.
Comme tout le monde, je pense que le niveau de dangerosité d'une faille est le critère déterminant. Le nombre est vraiment secondaire. De plus, de nombreuses failles sont totalement inexploitables en réseau (il faut un accès physique).
Mais peut-être (probablement) Secunia a quelque intérêt à faire courir ce genre "d'information".
D'accords avec la plupart des commentaires :
18 ans sur Mac. 2 machines à la maison dont une allumée 24h sur 24 (développeur)
Bilan : 0 virus.
Je ne connais aucune personne dans mon entourage qui puisse en dire autant avec un autre système. Et pourtant je fréquente de nombreux utilisateurs puisque travaillant dans l'informatique.
Le bilan est le même pour tous les amis ou relations qui sont sur Mac.
Comme tout le monde, je pense que le niveau de dangerosité d'une faille est le critère déterminant. Le nombre est vraiment secondaire. De plus, de nombreuses failles sont totalement inexploitables en réseau (il faut un accès physique).
Mais peut-être (probablement) Secunia a quelque intérêt à faire courir ce genre "d'information".
Calintz
[13/07/2010 19:12]
via MacG Mobile
Une faille de securite, c'est pas forcément un virus..
Va falloir arrêter de mélanger les deux. :)
Une faille de securite, c'est pas forcément un virus..
Va falloir arrêter de mélanger les deux. :)
Moonwalker
[13/07/2010 19:22]
@Zed-K
Je peux parler sérieusement de la sécurité de Mac OS X avec des gens sérieux, pas des affabulateurs mal informés. Et je n'ai pas la mémoire courte.
Sur la réactivité d'Apple, on a déjà tout dit par ici. Une faille ne se comble pas sans certaines précautions et vérifications. Si la mise à jour de sécurité apporte d'autres problèmes (on a déjà vu ça) tu transformes un risque potentiel souvent léger en emmerdement bien réel pour beaucoup plus de monde.
Lorsqu'une faille posait de graves problèmes de sécurité, Apple a toujours réagi promptement. La faille de Charlie Miller a fait l'objet d'une SecUpdate particulière (2010-003). Idem quand ça concerne QuickTime.
Par contre, le coup de la faille Java et Mac OS X le cul à l'air pendant six mois est clairement une faute de la part d'Apple. De même, le temps qu'il faut pour obtenir une mise à jour du plug-in Flash intégré.
Là aussi, Apple se fout du monde. A ce jour, 10.6.4 et 10.5.8 + SecUpdate 2010-004 tournent officiellement avec la version 10.0 r45. Une passoire ! Si Apple ne veut pas mettre à jour le plug-in Flash, qu'elle ne l'intègre pas, ce sera plus simple et plus sérieux.
Sur la sécurité, je rejoins Charlie Miller : il y a trop de failles, chez tout le monde. Le modèle doit être repensé, les OS plus robustes.
@Zed-K
Je peux parler sérieusement de la sécurité de Mac OS X avec des gens sérieux, pas des affabulateurs mal informés. Et je n'ai pas la mémoire courte.
Sur la réactivité d'Apple, on a déjà tout dit par ici. Une faille ne se comble pas sans certaines précautions et vérifications. Si la mise à jour de sécurité apporte d'autres problèmes (on a déjà vu ça) tu transformes un risque potentiel souvent léger en emmerdement bien réel pour beaucoup plus de monde.
Lorsqu'une faille posait de graves problèmes de sécurité, Apple a toujours réagi promptement. La faille de Charlie Miller a fait l'objet d'une SecUpdate particulière (2010-003). Idem quand ça concerne QuickTime.
Par contre, le coup de la faille Java et Mac OS X le cul à l'air pendant six mois est clairement une faute de la part d'Apple. De même, le temps qu'il faut pour obtenir une mise à jour du plug-in Flash intégré.
Là aussi, Apple se fout du monde. A ce jour, 10.6.4 et 10.5.8 + SecUpdate 2010-004 tournent officiellement avec la version 10.0 r45. Une passoire ! Si Apple ne veut pas mettre à jour le plug-in Flash, qu'elle ne l'intègre pas, ce sera plus simple et plus sérieux.
Sur la sécurité, je rejoins Charlie Miller : il y a trop de failles, chez tout le monde. Le modèle doit être repensé, les OS plus robustes.
sunjohn
[13/07/2010 20:35]
et plus rapides, moins gourmands, plus interopérables, avoir plus de fonctionnalités tout en étant plus simples à utiliser. et cerise sur le gâteau : qu'ils soient objectivement (bien sûr) plus beaux.
plus sérieusement, cette news http://www.macgeneration.com/news/voir/134905/apple-embauche-un-crack-en-securite donne un peu d'espoir pour l'avenir de la sécurité dans OS X.
Le modèle doit être repensé, les OS plus robustes.
et plus rapides, moins gourmands, plus interopérables, avoir plus de fonctionnalités tout en étant plus simples à utiliser. et cerise sur le gâteau : qu'ils soient objectivement (bien sûr) plus beaux.
plus sérieusement, cette news http://www.macgeneration.com/news/voir/134905/apple-embauche-un-crack-en-securite donne un peu d'espoir pour l'avenir de la sécurité dans OS X.
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.