Un haut responsable de la sécurité chez Symantec a salué les efforts de Microsoft pour publier des correctifs pour les vulnérabilités de sécurité de son système d'exploitation Windows, mais a rejeté les accusations selon lesquelles cela le rend plus sécurisé..

Le directeur de Symantec, Oliver Friedrichs, répondait à un précédent rapport de Jeff Jones, directeur de la stratégie de l'unité de technologie de sécurité de Microsoft. Dans le rapport, Jones a déclaré que Wndows Vista avait moins souffert de vulnérabilités au cours de ses 90 premiers jours que Linux ou Mac OS X au cours de la même période..

Jones a déclaré qu'un seul bogue avait été découvert dans Windows Vista lors de sa mise en service en novembre, mais que pendant la même période, Windows XP avait 14 bogues, Mac OS X 10.4 en avait 20, Red Hat en avait 137, Ubuntu. 71 et SuSE engrangés 80.

Commentant le rapport, Friedrichs de Symantec a déclaré: "La gravité d'une vulnérabilité y contribue également. Une vulnérabilité unique très grave pourrait conduire au prochain ver Sasser ou Blaster, mais à un système d'exploitation avec un plus grand nombre de bogues, mais avec [ ceux qui sont cotés] moins haut peuvent se trouver dans une meilleure position de défense en général ".

Dominance plus défauts = dégâts

Friedrichs a également averti que la domination de Microsoft avait un rôle important à jouer dans l'impact des vulnérabilités, simplement en raison de sa position dominante sur le marché:

"Une vulnérabilité très grave risque de ne pas recevoir une exploitation généralisée sur un autre système d'exploitation", a-t-il déclaré. "Ce n'est pas inhabituel. Cela ne diminue en rien la criticité de la vulnérabilité elle-même. Pour la clientèle de ce fournisseur, cela présente un risque sérieux, mais le risque global pour Internet n'est peut-être pas énorme."

Il a également déclaré qu'il était difficile d'évaluer véritablement un système d'exploitation en seulement 90 jours, en particulier lorsque Vista n'était disponible que pour les utilisateurs professionnels pendant cette période. Les entreprises sont beaucoup plus susceptibles de prendre la sécurité au sérieux que les utilisateurs à domicile. Symantec indique que 93% de tous les exploits sont destinés aux utilisateurs à domicile, plutôt qu'aux entreprises.

Cependant, Friedrichs a félicité Microsoft pour la rapidité avec laquelle elle corrigeait les failles de Windows par rapport à celles trouvées dans les systèmes d'exploitation concurrents. Selon un rapport de Symantec, il a fallu en moyenne 21 jours à Microsoft pour corriger 39 vulnérabilités au cours du second semestre 2006, contre 66 jours pour Mac OS X et 58 jours pour Red Hat..

Les chiffres qui comptent

Certains journalistes techniques se sont emparés du rapport de sécurité Internet Volume XI pour prouver que Windows est un système d’exploitation plus sécurisé que ses rivaux. Cependant, leurs rapports ont tendance à se concentrer sur le nombre de correctifs et la rapidité avec laquelle ils ont été publiés, plutôt que sur la gravité des vulnérabilités elles-mêmes:

  • Microsoft a mis plus de temps (21 jours en moyenne) à corriger ses vulnérabilités Windows au second semestre 2006 qu'au premier semestre (13 jours)
  • Sur les 39 vulnérabilités exposées, 12 étaient considérées comme présentant une gravité élevée; 20 gravité moyenne et 7 gravité faible. C’est pire qu’au premier semestre où il n’y avait que 5 risques de gravité élevée, selon Symantec
  • Parmi les vulnérabilités de Red Hat pour le second semestre 2006, 2 étaient considérées comme graves; 130 étaient considérés de sévérité moyenne et 76 de faible gravité
  • Mac OS X présentait un risque élevé de gravité; 31 risques de gravité moyenne; et six risques de faible gravité

Les applications Web constituent la plus grande menace

Symantec a également examiné les menaces pesant sur les navigateurs Web. Il a découvert qu'un programme - Internet Explorer de Microsoft - était ciblé dans 77% des attaques de navigateurs Web. Il a également indiqué que les navigateurs et autres applications Web représentaient 66% des attaques informatiques au cours du second semestre 2006. Les pirates informatiques utilisent de plus en plus les attaques de sévérité moyenne pour exploiter des programmes PC. Les chiffres s'empilent comme ceci:

  • Internet Explorer présentait 54 vulnérabilités au second semestre de l’année dernière; 1 de ces cas était considéré comme très grave; 13 gravité moyenne et 40 gravité faible
  • Les navigateurs Mozilla (par exemple, Firefox) comportaient 40 vulnérabilités pour la même période; 35 de ces cas étaient considérés de gravité moyenne et 5 de gravité faible
  • Opera avait 4 vulnérabilités, toujours pour la même période; 2 étaient considérés de gravité moyenne et deux de gravité faible
  • Safari d’Apple présentait 4 vulnérabilités, toujours pour la même période; 2 étaient considérés de gravité moyenne et deux de gravité faible