Un max de failles pour OS X et iOS en 2015 ? Pas si vite
OS X et iOS seraient les deux plateformes les plus vulnérables de 2015, a annoncé le dernier rapport de CVE. 384 failles en tout genre ont été repérées sur le système d’exploitation de bureau d’Apple, 375 pour l’OS mobile. Le lecteur Flash, qui nous régale très régulièrement de dizaines de correctifs en tout genre, est troisième sur ce podium avec 314 vulnérabilités. Dit comme ça, le tableau n’est pas brillant pour Apple, mais les apparences sont parfois trompeuses…
Car le rapport est biaisé. Alors que CVE décline les différentes versions de Windows (Windows Server 2012 est dixième avec 155 failles, Windows 8.1 suit avec 151 vulnérabilités, etc.), le calcul du nombre de failles pour OS X et iOS regroupe toutes les moutures des deux systèmes. À ce tarif effectivement, le tableau n’est pas très rose pour Apple…
Lorsque l’on regarde par constructeur, Apple détient malgré tout la palme avec un total de 654 vulnérabilités sur l’ensemble de l’an dernier, contre 571 pour Microsoft et 460 pour Adobe (des chiffres qui prennent en compte les navigateurs web des deux constructeurs). Mais là encore, la comparaison n’est pas aisée : une faille peut être plus importante qu’une autre.
Pour aider à la comparaison, CVE note les vulnérabilités de 0.0 à 10.0. Si on ne prend en compte que les vulnérabilités les plus sévères, Apple affiche un score annuel de 91, soit 14% du total combiné des failles OS X et iOS, contre 332 pour Microsoft. Ces vulnérabilités très sévères représentent chez l’éditeur de Windows 58% de son total de failles. Pour Adobe, le résultat est encore moins glorieux avec 389 failles très problématiques (85% du total des failles de l’éditeur de Flash).
Cela ne signifie pas pour autant que les systèmes d’exploitation d’Apple sont les plus sécurisés, et ces chiffres ne doivent pas être un prétexte pour relâcher les efforts. Mais à l’aspect purement quantitatif, mieux vaut regarder du côté qualitatif.
Apple a du bol alors (et nous aussi), la gravité d'une faille n'etant pas un choix.
Si dans une certaine mesure.
C'est une question de qualité de conception. de méthodes, de stratégie de sécurisation, de temps et d'outils!
Le niveau de danger d'une faille releve d'un certains nombre de criteres logiques.
La faille a plus critique c'est celle qui permet un acces en mode administrateur a travers le reseau.
La faille la moins grave c'est celle qui necessite un acces physique a la machine et reste dans un espace de donnees local (sandbox ou compte utiisateur)
Sur les OS d'Apple, qui different très peu et qui sont des Unix, il y a la notion de session utilisateur qui détermine un vrai cloisonnement entre les espaces de données. Ce système évite les propagations, donc une faille ne sera pas critique grâce a ce système. C'est pour ça qu'il faut toujours avoir un compte utilisateur et un administrateur sur sa machine.
Une faille majeure, permettant un accès administrateur a travers le réseau, dénote d'un problème de contrôle qualité mais surtout d'un problème qui touche la conception. On peut créer une faille majeure lors de la réalisation, mais cela met en avant un problème de conception.
Si on prend le cas de Flash, cette application permet des accès réseaux en mode administrateur (escalade de privilèges) parce que Flash est mal conçu et qu'il nécessite des violation de sécurité pour fonctionner assez vite.
Si tous les hacker cherchent les failles en premier dans Flash ou Acrobat c'est parce qu'ils savent que la conception chez 'Adobe est mauvaise et que la réalisation est aussi mauvaise.
Apres il y a les failles qui sont en réalité des backdoor. La aussi la logique de recherche permet de se concentrer sur des zones fragiles avec de grandes chances de tomber juste.
Ceci dit avec Yosemite et iOS 8 il est certain qu'Apple a baissé la qualité et a augmenté les risques de failles, donc la mauvaise place, même calculée de manière très orientée, est un vrai signal d'alarme qu'Apple doit considérer!
@ C1rc3@0rc : "Sur les OS d'Apple, qui different très peu et qui sont des Unix, il y a la notion de session utilisateur qui détermine un vrai cloisonnement entre les espaces de données. Ce système évite les propagations, donc une faille ne sera pas critique grâce a ce système. C'est pour ça qu'il faut toujours avoir un compte utilisateur et un administrateur sur sa machine."
Oui, mais ici nous parlons du développement du système, et non du choix du type de compte que choisi l'utilisateur. Et Apple a déjà été confronté a ce genre de problématique (faille d'élévation des privilèges, voir dyld il n'y a pas si longtemps).
Oui mais on parle de niveau de dangerosité des failles. Si une faille implique une escalade de privileges, c'et qu'il y a deja un systeme de cloisonnement qui rend inoffensive certaines attaques et failles qui seraient majeures dans un système sans réel privilège.
Si on prend une faille reposant sur un classique "buffer overflow" il y a 3 niveaux pour l'éliminer
- niveau conception: mémoire protégée
- niveau réalisation: utiliser un compilateur qui détecte ce genre d'erreur et un langage interdisant les pratiques a risque.
- niveau contrôle: audit sur le code et sur l'exécutable
Si on a une mémoire protégée, les conséquences du "buffer overflow" seront minimes et la faille mineure.
Si on a pas de mémoire protégée il y a un risque de propagation, qui peut déboucher sur une escalade de privilège, injection de code, etc
On sait qu'aucun niveau ne peut etre fiable a 100% donc un OS securise c'est celui qui empile les sécurité.
Un OS ce sont des millions de lignes de code.
Dans l'ideal, on a une approche type Unix, avec une modularité qui implique qu'on peut modifier des modules sans que cela ait un impact sur les modules stables.
On peut donc avoir deux types d'equipes:
- celle qui ecrit de nouveaux modules
- celle qui audit les modules existants pour en renforcer le securite.
Au fur a mesure le temps passe l'OS devient plus performant, plus securisé, plus stable. Ca c'est l'ideal, mais ca necessite de payer des ingénieurs expérimentés et de leurs accorder le temps necessesaire.
Dans la realite, on tire les prix, on sous-traite, et on raccourcit les délais: ça implique une croissance des bug!
Si la conception est bonne, la majorite des failles seront non critiques. Si la conception est mauvaise la moindre faille pourra être critique. Et ce qui fait la dangerosité d'un système c'est le niveau de dangerosité des failles.
Peut importe d'avoir 500 failles, une seule faille critique suffit a faire tomber le systeme!
La sécurité ou la roulette russe pour certains...
@ SpleenXXX : Il faut savoir faire la différence entre sécurité (dans le sens "protection", comme mettre au point un sandboxing par exemple) et une faille (dans le sens "vulnérabilité", comme un buffer overflow par exemple) pour comprendre le sens de la remarque.
Oui on ne se connait pas mais j'ai qq rudiments en sécurité avec Lexsi lyon.
N'en reste pas moins que, comme le dit Noxx09, tout ceci découle à la base d'un système à l'architecture solide. Dit comme tu le dis ça laisse clairement penser que c'est une question de chance.
@ SpleenXXX :
Je dis juste qu'Apple (et ses copains) n'implantante(nt) pas volontairement un bug dans les systèmes (cela s'appellerai une backdoor), et donc ni leurs gravité, ni leurs nombres.
Oui je pense que nous sommes plus chanceux que les utilisateurs d'autres systèmes, vu les chiffres donnés ici.
Une backdoor n'est pas un bogue. Un bogue peut amener à une backdoor. Eh malheureusement depuis des années on découvre des backdoors (Samsung, Microsoft, etc) permettant "de mieux connaitre l'utilisateur pour lui proposer un contenu adapté" nous dit-on. (http://cl.ly/edWi).
Oui mais ces logiciels sont conçu avec des plans, des diagrammes. Des choix sont fait niveau architecture, au niveau des protocoles, des implémentations. Ce n'est pas la faute à pas de chance. L'informatique c'est pas magique comme je l'explique à ma grand-mère :)
@SpleenXXX : Je n'ai pas dit qu'une backdoor était un bug, mais bien au contraire qu'elle serait voulue (à la rootkit by Sony), contrairement à une malheureuse faille bien involontaire.
Apres, effectivement le terme de 'bug' est certainement mal choisi ici.
Mais la conséquence d'un système bien construit...
Mais les vendeurs n'auront pas ce luxe de réflexion. Ya moins de vulnérabilité chez cette marque que chez le concurrent *donc* mon matériel est mieux. Point à la ligne...
Hier Apple m a complètement déconseillé l'installation d'un logiciel Anti virus. Qui risquait de planter mon ordinateur...
Ben quand tu vois le scandale de l'antivirus de Trend Micro http://www.zdnet.fr/actualites/passoire-trend-micro-corrige-son-gestionnaire-de-mots-de-passe-victime-de-failles-critiques-39831060.htm, tu comprends que l'antivirus est pas forcement le truc le plus efficace et inoffensif.
Dans ce cas, on touche le ridicule puisque c'est le gestionnaire de mot de passe qui est le troyen!
En fait il y a 2 types d'antivirus: ceux qui scannent le disque a la recherche de la signature d'un malware et ceux qui observent le comportement de l'OS pour déterminer si un malware est en action.
Le premier est intégré dans les OS.
On peut en ajouter un plus réactif open source comme ClamAV mais c'est optionnel.
Le second pose beaucoup de problème, son efficacité est plus que douteuse et son impact sur les performances de la machine est important.
De plus il peut etre la cause de dysfonctionnement qui vont jusqu'au plantage. Certains experts estiment que ce type d'antivirus est plus prejudiciable que les malware!
Le hic c'est que la pluspart des antivirus commerciaux sont de la 2 eme categorie, meme sur Mac.
Oulà l'article. Attention, ce n'est pas parce que Windows est divisé en versions qu'il faut faire la somme des failles des différentes versions. Par exemple, la faille la plus récente 'CVE-2015-6174' apparaît dans toutes les versions :-)
Android: seulement 130 failles. Pas mal pour l'OS mobile qui a 80% du marché même si certaines sont assez majeures je pense.
@Ast2001 :
Oui, ceci dis certaine ne sont pas glorieuses, j'ai envoye l'info par mail à MacG mais sans réponse. Les note 5, LG 4 et d'autres peuvent être réinitialisé même sans le compte Google (pour les vols) avec une manip facile.
J'appelle ca une faille critique ^^
@Hideyasu
Pardon pour la non réponse, je me souviens du mail. Par contre on ne suit pas au millimètre toute l'actu des failles Android. De temps à autre seulement.
Remarque intéressante.
Il me semble qu'au niveau Android c'est le code de base qui est evalué, pas les versions fournies avec les appareils.
Et justement le code de base, libre, n'est utilisé que pour les Nexus.
Tous les autres appareils disposent d'une version modifiée par le fabricant, et comme ce code n'est pas disponible, on ne peut détecter une faille que si on la cherche activement.
Il y a aussi le niveau en dessous de l'OS...
Je prend un exemple: un Xperia dispose d'un Android modifié avec une couche graphique proprietaire. Sa duree de vie (commercialisation) c'est entre 6 mois et un an.
Si le code de base de Google est propre, Sony peut introduire des failles en modifiant ce code, en rajoutant des drivers et en rajoutant la couche graphique. Et la les failles peuvent etre critiques.
Mais comme l'appareil ne sera pas commercialisé plus d'1 an, la traque des failles ne durera que quelques moins dans le meilleur des cas.
En face on a des OS qui sont de long terme (OpenBSD/Linux/Mac OS X/Windows). La traque des faille pourra durer des années et comme le code est libre (pour les Unix) tout le monde peut chercher.
Donc le nombre de failles que l'on trouve n'indique pas la dangerosité du système.
Si on prend le cas de Flash, on sait que beaucoup de failles sont multiplateformes. Cela fait que la moindre faille monte deja d'un cran en terme de dangerosité. Concevoir des malwares sur Flash est tres productif. On sait que Windows sera plus impacté que Mac OSX, mais Mac OS X est tout de meme exposé. Donc une faille dans Flash est bien plus grave que dans OS X ou meme dans Windows.
@Liena (et aux autres aussi) :
Pour moi, il faut distinguer 2 types de failles :
- Celles qui peuvent être utilisées via le réseau
- Celles pour lesquelles il faut un accès physique au device
Déjà, chez Apple, au cours de l'an dernier, bcp des nouvelles failles avaient besoin d'un accès physique, donc très très peu probable d'être utilisées dans le cas de monsieur/madame tout-le-monde.
Lancer des chiffres sur le nombre de failles sans tout qualifier pour donner une bonne idée de la criticité, ça ne sert à rien.
@CNNN :
Effectivement, c'est totalement inutile. Le pire c'est que ça ralenti ton système et ça consomme des ressources (RAM + disk) pour rien.
Perso, jamais eu d'antivirus sur un Mac depuis que j'en ai un (2003) et jamais eu de problème.
Sinon, tu peux télécharger DetectX et AntiMalware (je ne sais plus exactement le nom du second) et faire une passe de détection pour voir s'il découvre qqch, de temps en temps. Mais un anti-virus tout le temps actif est inutile.
La question est donc : doit on installer sur sa machine un logiciel antivirus ? (Mac user)
Un antivirus passif comme ClamAV (http://www.clamav.net/ version Terminal gratuite et version graphique payante), oui ca permet d'éviter de servir de porteur sain et de contaminer ses amis sous Windows.
Un antivirus dynamique, faut eviter comme la peste.
Par contre un soft intéressant c'est https://www.oneperiodic.com/products/handsoff/. Il te montre les acces reseaux entrant ET sortant de ta machine et permet de les bloquer au niveau de l'application. C'est mieux qu'un antivirus, ça fonctionne meme avec Adobe!
Donc la réponse à la question "doit on ..." est tjrs NON. En revanche, on peut si on aime les programmes inutiles sur son ordi ...
Maintenant, si les Macs "doivent" servir d'antivirus aux PCs qui ont déjà un antivirus (faudrait être totalement débile pour ne pas y en mettre un sur un PC), je dis NON aussi !
Donc, au final, c'est tjrs NON.
NON
@ Ast2001: oui Android très fort aussi pour se traîner des failles majeurs monstrueuses sur 3 versions avec un discours de Google qui dit qu'ils ne feront rien parce que ce sont des Android custom constructeurs.
C'est magique.
Donc, bon. Android est fiable comme tout autre système et avec de gros trous aussi.
Je suis d'accord. La non descente de la correction sur WEbView est une honte.
Faut comprendre qu'il n'y a pas une version d'Android de Google. Google écrit un Android de base, le met en open source, mais après les constructeurs doivent adapter Android a leurs matériel. Ils créent donc une version d'Android spécifique pour leur machine, et Google ne peut rien faire a ce niveau. Et la je parle même pas des couches d'interface constructeur ou opérateur qui polluent Android.
Si une faille se trouve dans la version de base d'Android, Google écrit un patch, mais apres les constructeurs doivent intégrer le patch a leur version d'Android et diffuser ce patch adapté a leurs clients.
Le discours de Google est donc cohérent.
Le vrai problème avec Android c'est la fragmentation qui s'effectue a plusieurs niveaux. Donc pour tirer le meilleur profit d'Android faut rester sur les produit de Google...
"Si une faille se trouve dans la version de base d'Android, Google écrit un patch, mais après les constructeurs doivent intégrer le patch a leur version d'Android et diffuser ce patch adapté a leurs clients." Au niveau de la faille dont il est question concernant le composant webview. C'est bien le souci, c'est un composant standard, Google à refusé de proposé un correctif pour les versions < Android 4.4 laissant les différents constructeurs proposer une solution.
On ne peut pas dire que cela à été leur meilleure idée.
Et je rajouterais aussi qu'il y a bcp de failles iOS qui ne sont applicables QUE SI on a jailbreaké son iOS ...
Pour 2015 ils ne prennent pas "toutes" les versions d'OSX !
10.8.5 : 14
Total OSX Lion : 14
10.9.5 : 18
Total OSX Mavericks : 18
10.10.0 : 2
10.10.1 : 34
10.10.2 : 40
10.10.3 : 62
10.10.4 : 64
10.10.5 : 43
Total OSX Yosemite : 245
10.11.0 : 51
10.11.1 : 46
Total OSX El Capitan : 97
Total général: 374 (il m'en manque 10 je ne sais où...)
Pour iOS c'est pareil, ils n'ont pris en compte que la 8 et la 9 pour 2015 avec :
8.0 : 1
8.0.1 : 1
8.0.2 : 1
8.1 : 1
8.1.2 : 21
8.1.3 : 8
8.2 : 59
8.3 : 27
8.4 : 69
8.4.1 : 93
Total iOS 8 : 284
9.0.1 : 1
9.0.2 : 50
9.1 : 50
Total iOS 9 : 101
Total : 385 (là pour le coup j'en ai 10 de plus !)
Pour Windows 8.1 : 151
Pour Android c'est pareil, ils n'ont pris en compte que les version 4.4, 4.4.4, 5.0, 5.1, 5.1.0, 5.1.1 et 6.0.
Pour ANdroid 4.x ca nous donne 6.
Pour Android 5.x ca nous donne 92.
Pour Android 6.x ca nous donne 24.
Je me demande bien ce que vient faire une vulnérabilité comme celle là dans le tableau des failles d'OSX.
Buffer overflow in Adobe Reader and Acrobat 10.x before 10.1.14 and 11.x before 11.0.11 on Windows and OS X allows attackers to execute arbitrary code via unknown vectors.
Sachant que je n'ai trouvé cette vulnérabilité nulle part dans les patch de Windows (j'ai fait la recherche jusque Vista et je me suis arrêté là). Ça veut dire que la faille n'a pas été bouchée ?
Qd on voit les pb qu ils ont pr regler le wifi j ose pas imaginer pr la correction de failles
@MacGé
"Lorsque l’on regarde par constructeur, Apple détient malgré tout la palme avec un total de 654 vulnérabilités sur l’ensemble de l’an dernier, contre 571 pour Microsoft et 460 pour Adobe"
Comment vous en arrivez à ce chiffre ?
Ajouter les failles d'iOS à OSX ça n'a pas beaucoup de sens, puisque iOS et OSX ont le même noyau. Ça revient à doubler le nombre de failles...
Par contre, si on compare les failles desktop de OSX à Windows, on a pas du tout les mêmes chiffres...
PS : Un autre truc particulièrement malhonnête de ce tableau c'est qu'il est impossible d'avoir le nombre de failles par OSX. Par version de Windows oui, mais pas par OSX, puisque OSX est agrégé dans la catégorie fourre-tout Mac OSX...
Et le périmètre ?
Sur Mac OS X, on compte les failles d'apache, de ruby, de bash, de ssh (si, si ça existe), de ...
Ou pas ?
Quel est le périmètre donc ?
C'est sûr que les failles Apache sont à corriger aussi dans Mac OS X, mais elle ne sont exploitables que si on active Apache, il faudrait aussi les compter sur Windows (puisqu'on peut les retrouver, il faut juste installer apache, mais il existe des solutions)...
Bref, compter les points sans définir un périmètre égal, c'est inutile.
Le perimètre le plus large aura le plus de failles.
La gravité des failles dépend par contre de l'implantation.
Mais Apple a t-elle décidée de l'implantation d'Apache ?
Donc ce listing compta ou rien, c'est pareil.
Pour mémoire, lorsque Microsoft a sorti son anti-virus dans les année 95 (je crois) le premier virus identifié s'appelais windows
On imagine qu'entre les différentes versions de Windows, une majorité de failles seraient communes, et il ne faudrait donc pas additionner le nombre de failles de toutes les versions, tout comme le fait d'avoir pris toutes les versions d'OSX n'a sûrement pas compté les failles communes!
C'est exactement ce que j'ai montré dans un commentaire plus ancien. Additionner les chiffres des failles des différentes versions de Windows c'est au mieux de la bêtise et au pire de la malhonnêteté intellectuelle.
Il est vraiment dommage d'avoir un traitement différent pour le comptage des failles OSX et Windows. Cela élimine à peu près toutes possibilité de comparaison. Et gloser comme le fait l'auteur de l'article sur les sommes des failles des différents OS c'est un peu n'importe quoi :-)