Sécurité : le Mac pointé du doigt par IBM

Christophe Laporte |
L'étude annuelle du département X-Force d'IBM [format PDF] pointe Mac OS X du doigt et juge que c'est le système d'exploitation le plus vulnérable.

Principal grief adressé à Apple : le nombre de failles recensé pour un système par rapport au nombre total de failles découvertes en 2008 atteint 14,3 % sur Mac OS X et Mac OS X Server. Les responsables de cette enquête indiquent également que la proportion de failles découvertes et non corrigées a tendance à augmenter. Elle est passée de 44 % en 2007 à 53 % en 2008.



En terme de nombre de failles recensées, Apple se classe deuxième, juste derrière Microsoft. Ce tableau ne s'arrête pas aux failles relatives aux systèmes d'exploitation, il prend en compte l'ensemble des vulnérabilités relatives aux logiciels édités par les différentes sociétés.



Si Microsoft et Apple sont si bien placés, c'est en grande partie à cause de leurs navigateurs web. En 2008, les failles relatives à Internet étaient particulièrement à la mode. Dans le top 10, on trouve deux solutions de gestions de contenu sur le web (Joomla et Drupal), ainsi que Mozilla et Cisco.



Comme le montre le graphique ci-dessus, plus d'une faille sur deux qualifiée de critique ou d'élevée affectait les navigateurs web, soit cinq fois plus qu'en 2005. À l'inverse, la proportion de failles graves relatives aux systèmes d'exploitation diminue régulièrement.


Dans les faits sur le web, les pirates se sont surtout acharnés sur Internet Explorer et ActiveX qui représentent à eux deux tiers des attaques (voir le tableau en dessous). Les technologies d'Adobe, Flash et Acrobat, sont également de plus en plus la proie des hackers (près d'une attaque sur quatre).



Dernière statistique cette fois peu glorieuse pour Apple, la faille QuickTime RSTP URL (lire : Grosse faille dans iTunes et QuickTime), qui permet à une personne malintentionnée l’exécution de code arbitraire à distance via un dépassement de mémoire tampon lors d’une tentative infructueuse de lecture d’un fichier via le protocole Real Time Streaming Protocol (RTSP), fait parti des cinq failles les plus exploitées en 2008 depuis un navigateur web (voir le classement ci-dessous). Apple avait corrigé la faille, mais de nombreux utilisateurs notamment sur Windows ne prennent pas la peine de mettre à jour QuickTime.

avatar nlex | 

Merde alors !

avatar jmini | 

Il y avait déjà eu des enquêtes de sécurité qui allait dans ce sens... Rien de nouveau.

Pour le grand public, à mon avis le Mac reste toujours une plateforme sûre... Ces chiffres doivent être pondérés par le nombre d'utilisateurs, et l'attractivité de la plateforme pour les pirates (ce qui est lié au nombre d'utilisateurs, mais pas seulement)

Le problème c'est que les entreprises ne peuvent pas se contenter d'un "la plateforme est réputée sûre". La sécurité informatique est quelque chose qu'il est difficile d'appréhender. Les chiffres donnés par cette enquête sont des indicateurs objectifs qui doivent entrer dans l'équation (parmi d'autres facteurs).

Si Apple veut continuer à jouer dans le monde de l'entreprise, elle va devoir améliorer ce point sur lequel elle n'est pas forte : le patchage rapide des failles découvertes.

avatar lanfeust401 | 

oui mais combien de ces failles sont réellement exploitable depuis l'exterieur (car c'est la qu'il faut d'abord regarder)
certes la faille de quicktime est dans ce cas la et est une épine douloureuse. et j'espere qu'apple la corrigera

avatar divoli | 

De vraies passoires, ces Mac.

S'ils avaient une pdm plus importante, je n'ose imaginer le massacre...

avatar dani | 

nlex [12/02/2009 12:32]

Merde alors !

J'avais ce matin un peu de tracas concernant le boulot mais grâce a ta réaction, esprit "ZEN", cela m'a détendu et tout est rentré dans l'ordre. C'était le bon jour pour que 2 mots et une ponctuation suffisent pour me changer les idées

HORS SUJET MAIS MERCI.

avatar Christophe Laporte | 

-> lanfeust401

la faille de quicktime a été corrigée depuis belle lurette. Le soucis, c'est que sur PC, QuickTIme est très peu mis à jour. Apple a fait des efforts à ce niveau là avec son système de mise à jour…

avatar DarkMoonX | 

D'ailleurs, c'est tellement facile de pirater un Mac que les pirates ne font même pas l'effort de créer des virus sur notre machine. Allez Apple un petit effort !!! ;)

avatar oomu | 

le bug quicktime fut franchement décevant. apple ayant pris son temps.

-

pour le reste, c'est très alarmiste pour rien.

-
Je note que comme toujours, ActiveX est fondamentalement une mauvaise idée. Microsoft a investi je ne sais plus combien de technologies pour rendre ActiveX blindé, mais le concept même est néfaste.

avatar lukasmars | 

C'est pas la securité intrinseque du Mac qui est mise en cause ici mais plutot la reactivité de Apple pour corriger les failles qui est bien trop longue..

Et force est de constater que Apple devient comme Microsoft ( gros patch de correction mensuel de plusieurs centaines de Mo ) là ou Linux et BSD corrigent dans les jours, voire les heures aprés la decouverte de la faille.
L'experience de l'empoisonnement du cache DNS et du logiciel Unix qui gere cela sous Mac ( Bind) montre bien que Apple n'a pas à la ramener en la matiére .

avatar Moonwalker | 

Heu...

La faille RSTP est comblée [url=http://docs.info.apple.com/article.html?artnum=307176-fr]depuis belle lurette (décembre 2007)[/url]. Alors, soit le rapport IBM est une pantalonnade, soit monsieur Laporte devrait arrêter de s'essayer au journalisme et tenter la SF, versant Héroïque-Fantaisie.

Un peu des deux sans doute. Car parler de "Most Vulnerable Operating Systems" en ne comptabilisant que le nombre de failles ne fait pas très sérieux.

De plus, contrairement à ce que vous laissez entendre, il ne s'agit pas de "la proportion de failles non patchées par rapport au nombre de failles découvertes en 2008", ce pourcentage ne reflète que la part de chaque système dans le nombre de failles et ne s'occupe en rien de savoir si elles sont patchées ou non.

Monsieur Laporte est amateur de titres à sensation, pourtant IBM ne pointe rien du tout, ni personne. Elle publie un rapport avec des statistiques et se garde bien d'en tirer des conclusions sur la qualité des OS. Comme c'est l'usage, il y a toujours un fumeux scribouillard pour essayer de leur faire dire n'importe quoi.

En attendant, les systèmes de l'armée française mis en carafe en janvier avaient à voir avec Windows Server...

Mais coupable l'armée, car la faille était patchée depuis octobre, comme tout ceux qui se sont fait prendre avec le RSTP en 2008.
Il faut faire les mise à jour de sécurité (QT 7.6 en remet une couche sur le URL RSTP).

avatar shenmue | 

@Divoli:"S'ils avaient une pdm plus importante, je n'ose imaginer le massacre... "

S'ils avaient une PDM importante, Apple ferait des patchs plus souvent.

avatar Dan DT | 

D'ailleurs, c'est bien connu, la Navy US sont une bande d'incapables, la preuve il ont déclaré OsX éligible dans leurs système, les dauphins vont pouvoir hacker les sous-marins pour avoir des écrans bleus:-)

avatar shenmue | 

+1 Moonwalker...
En effet l'article d'IBM ne porte aucune conclusion contre Apple en particulier, et en effet il y a des erreurs visibles sans compter l'interprétation que l'on va faire des chiffres

avatar Origin | 

Et je rajouterais que bizarrement, AIX est superbement bien placé ... bizarrement ;)

Comme toujours, on fait dire ce qu'on veut aux chiffres. Par contre, une chose est sûre : restez vigilents, Mac Users, un jour viendra, si vous n'y prenez pas assez garde, ou vous vous prendrez un bouillon qui fera du bruit.

avatar Moonwalker | 

Encore mieux : la faille listée par IBM [CVE-2007-015] est patchée depuis janvier 2007 et et [url=http://support.apple.com/kb/HT2238?viewlocale=fr_FR]la mise à jour de sécurité 2007-001[/url].

Certes, QT est un point faible de Mac OS X (également de Windows), comme votre porte ou vos fenêtres sont les points faibles de vos maisons.

Donc : faire les mises à jour de sécurité. Remarquez que pour les problèmes de RSTP, Apple a réagi à chaque fois avec célérité.

avatar T Ki | 

Donner au chapitre "Most Vulnerable Operating Systems" des pourcentages de failles non patchées sans donner à coté leur nombre en valeur absolue c'est un peu con et/ou pas franchement de bonne foi : Si X a eu 5 failles dont une non patchée, X obtiens 20%... alors que si Y a eu 500 failles dont 50 non patchées Y obtiens 10%, X semble alors 2x moins vulnérable qu'Y alors qu'en réalité il l'est 50x plus.

De plus parler de failles sans mettre en parallèle les exploitations de ses failles en mettant clairement en évidence les exploits de failles déjà patchées par l'éditeur, c'est pas vraiment vouloir informer clairement, non ?

avatar Eurylaime | 

"S'ils avaient une PDM importante, Apple ferait des patchs plus souvent."

Incroyable, Apple est une entreprise artisanale misérable.

avatar Un Vrai Type | 

Pourquoi, mais pourquoi donc, compte t'on les failles d'apache dans Mac OS X et pas dans Windows ou AIX ?
Quand au temps de réaction, il dépend aussi de la réaction des milliers d'applications open-source...
@Origin : être sur mac n'a jamais été une bonne raison de ne pas sauvegarder ses données...
En effet, un disque dur tombe aussi en panne sur mac par exemple.

avatar Christophe Laporte | 

@moonwalker

Pour la SF, je vais y réfléchir, mais j'ai des doutes.

Je me suis effectivement trompé dans la première partie de la news, j'ai corrigé. J'ai également cru bon comme tu le suggérais de notifier qu'Apple avait corrigé la faille dans QuickTime.

Concernant le sensationnalisme, ce n'est pas à moi de juger, même si ce n'est pas mon but. je ferai juste remarquer que dans le résumé du rapport, c'est l'un des tout premiers points mentionnés.

avatar rokdun | 

Ca me fait toujours marrer ce genre d'article sur la dangerosité de tel ou tel systeme d'exploitation... J'utilise Windows et MacOS depuis des annees, je ne suis jamais tombé sur des virus. Suis-je chanceux ? Ou simplement prudent, en ne telechargeant pas n'importe quoi n'importe ou ?... Sans doute un peu des deux :-)

avatar kubernan | 

@Moonwalker : Depuis quand MacGé c'est du journalisme ? Faut pas leur en vouloir, MacGé rapporte juste des news parues un peu partout.

Je trouve le second tableau assez curieux : on met dans le même panier, une société comme Apple qui délivre un certain nombre de logiciels et de solutions bien différentes les unes des autres, et d'autres comme Drupal et Joomla qui délivrent un **unique** outil de gestion de contenu de site web. Bon, c'est bizarre.

Ce rapport est très intéressant toutefois. À lire en détail.

avatar Stanislas Retcum | 

et une faille, une : http://www.secuobs.com/news/22012009-memory_injection_mac_os_x_blackhat.shtml

extrait:

Vincento Iozzo, chercheur en sécurité informatique, vient de révéler qu’il aurait découvert un nouveau moyen de procéder à l’injection de codes hostiles au sein de la mémoire des ordinateurs qui sont régis par les systèmes d’exploitation de type Apple Mac OS X. La technique en question pourrait à l’avenir complexifier de façon considérable les opérations de recherche de preuves qui seront menées sur les machines exploitées et compromises par des attaques réalisées dans ce cadre.

avatar cedre22 | 

En même temps 70% des failles sont liées a des technologies microsoft et ne sont donc exploitables que sous windows et 93% ne sont pas liées a des techno Apple.

C'est plutôt comme cela qu'il faut lire ces données en particulier le camenbert.

avatar nicogala | 

AIX classé dans les "meilleurs" ... mais a t'il un système de logiciels multimédia avancé, un navigateur maison intégré etc ? Bref on compare des systèmes restreints et ciblés avec des systèmes "complets" grand-public... forcément qu'en ayant plus de logiciels/services on a plus de risques de failles...

Je trouve aussi qu'il y a bcp de failles dans ce genre d'études, toutes prenant des définitions différentes (faille exploitable/exploitée ou pas, composant système ou logiciel tiers inclus ou pas etc.) .

Après faut voir entre obligation de moyen (bcp de patchs) et obligation de résultat (pas d'exploitation effective des failles) ce qui est préférable en informatique...perso j'ai choisi.

avatar karpok | 

Le classement des systèmes d'exploitation n'a aucun sens ! En effet il compare des choux et des carottes.
D'un côté un kernel linux avec les fonction de base du système. Et de l'autre Mac OS X server avec son lot de service DNS, web, mail,...
Cela est également valable pour microsoft. Si l'on veut comparer la sécurité de différente solution, il faut bien le comparer à solution équivalente.
Ensuite faire porter à Apple la resposabilité du comportement des utilisateurs de PC qui trainent à se mettre à jour c'est un peu gros.

avatar def13 | 

@ T Ki

CQFD, bravo je n'aurais pas mieux expliqué. C'est enfilades de chiffres totalement subjectives et à qui on peut faire dire n'importe quoi me sorte des yeux (et pas qu'en informatique) : c'est de la désinformation totale !!!

D'ailleurs, comme le souligne nicogala, il y a pas mal de failles dans les études elles-même, on devrait les lister et leur renvoyer...

Note : je cherche IE, Acrobat et iTunes pour AIX ... LOL

avatar Almux | 

Reste qu'il y a "faille" et "faille"... Comme toujours, il peut y avoir des dizaines de failles qui ne permettent rien du tout dans un système et une seule qui ouvre tout sur un autre système... IBM ne précise pas... Bien sûr!...

avatar Jipy | 

Je pouffe ! La faille QT est corrigée et l'article ne mentionne pas le % de failles OSX nécessitant, pour être exploitées depuis l'extérieur du système, un mot de passe root ou admin dûment renseigné par l'utilisateur du mac.

Car la seule vraie faille de sécurité sur Mac se situe toujours entre la chaise et le clavier !

avatar iskandar | 

"Dans le top 10, on trouve deux solutions de gestions de contenu sur le web (Joomla et Drupal), "

pardon 3 car TYPO3 en est une aussi ! :)

avatar Mecky | 

Quelque chose me chiffonne (me déplait) au plus haut point dans la politique d'Apple à ce sujet. S'il m'arrive de ne pas appliquer certains "patch", c'est parce qu'ils sont inclus dans des mises à jour. Et celles-ci changent parfois la donne avec des fonctions non souhaitées. Il serait essentiel qu'ils séparent toujours sécurité et fonctionnalités. Une mise à jour doit inclure les patchs antérieurs. Mais elle ne peut pas faire l'économie d'un patch distinct !

avatar biglittledragoon | 

Pfff… C'est blaireaux de chez IBM, ils ont oublié le Minitel dans leur classement!
Encore un signe que ce n'est pas sérieux.

avatar mrtrankill | 

la plus grande faille de sécurité est commune a tous les os et se situe entre le clavier et la chaise.....
ceci étant dit apple se la joue de plus en plus cool sur les patch et ca c'est décevant.
cf le temps de ponte du bind officiel heureusement qu'un coup d'xcode et un peu de galere on peut faire nos patch nous même.... après faut se jeter à l'eau et la ou un linuxien(ne) le fera sans hésitez un pure mac user attendra.....

Moralité stop utiliser un seul système et stay tuned ;)

my 2cents

avatar Yves SG | 

Vous connaissez quelqu'un qui utilise Vista sans avoir désactiver toutes les alertes vous ? Moi non. Y prennent ça en compte dans leur analyse ?
Autre chose que je ne comprends pas, c pourquoi, depuis le temps que tel ou tel expert nous annonce les grandes vulnérabilités de Mac OSX, et que je n'utilise aucun antivirus ou FW autre que celui du système, je n'ai jamais eu le moindre soucis...

avatar helmuthelmut | 

And the winner is....... : IBM

Bravo, IBM a fait une étude pour découvrir qu'ils sont les meilleurs. Pas mal.

Un jour j'ai lu une étude très sérieuse qui concluait qu'un verre de vin par jour augmentait l'espérance de vie... une étude émanant de l'Université de Bordeaux

etc...etc...

avatar Un Vrai Type | 

@Yves SG : Les "failles" de Mac OS X ne sont pas dans l'OS pour la plupart mais dans un des nombreux projets opensource qu'Apple intègre (sans les activer de base, très souvent) dans son OS.
Un moyen radical de faire baisser tout ça serait de compliquer l'installation de Mac OS X pour n'installer que le nécessaire à l'utilisateur ou sortir 6 versions de Mac OS X.
(Dont une qui ne peut lancer que 3 applications à la fois, dont un anti virus).

avatar Brewenn | 

[b]Profil des 4 ou 5 "piliers" du blog de MacG[/b]
[b]09:10[/b] Arrivée avec 10' de retard comme tous les jours.
[b]09:11[/b] Dépôt de l'attaché case.
[b]09:12[/b] Direction vers la machine à café
[b]09:42[/b] Retour au bureau
[b]09:43[/b] Ouverture de l'attaché case pour y prendre le seul document l'Équipe.
[b]09:44[/b] Direction vers les "gogues"
[b]10:14[/b] Retour au bureau
[b]10:15[/b] Connexion au site de MacG
[b]10:16[/b] Lecture des nouveaux billets des 3 ou 4 "pigistes" en chef
[b]10:30[/b] Pause, direction machine à café
[b]11:00[/b] Retour vers le bureau
[b]11:01[/b] Endossement, selon l'humeur et les billets, d'un costume d'Expert Informatique, Commercial, Financier, Economique, Fabrication, Exportation, Distribution et d'autres sortant tout droit de leur imagination.
[b]11:55[/b] Direction vers la "cantine" ou naturellement l'intéressé bien que n'ayant rien à dire, n'arrête pas de parler, fort de préférence

avatar Brewenn | 

[b]14:00[/b] Direction vers la machine à café
[b]14:30[/b] Retour au bureau
[b]14:31[/b] Connexion au site de MacG, sous un autre pseudo
[b]14:32[/b] Rédaction des réponses a ceux qui "ne comprennent rien", ou d'avis différents, les mots troll ou trolleurs étant les préférés de leur vocabulaire.
[b]15:00[/b] Déconnexion du site de MacG
[b]15:01[/b] Reconnexion au site de MacG, sous un autre pseudo
[b]15:02[/b] Rédaction de réponses pour appuyer et approuver les posts rédigés sous l'autre pseudo
[b]15:22[/b] Fermeture en urgence de Safari suite à l'entrée du chef de service dans le bureau.
[b]15:23[/b] Balbutiements pour justifier le travail pas fait, ou le peu de commencé qui est mal fait, que ce n'est pas de sa faute, mais celle d'un autre et une multitude de bonnes raisons pour camoufler son incompétence.
(Les collègues de travail ont les oreilles qui sifflent).
[b]15:30[/b] Sortie du chef de service du bureau.
[b]15:33[/b] Direction la machine à café, pour se remonter le moral.
[b]15:34[/b] Harangue des "collègues" de travail, "Quel nul ce chef de service y comprend rien", et puis ça fait 15 ans que je n'ai pas eu d'augmentation individuelle alors il peut toujours courir.
[b]16:00[/b] Direction les "gogues"
[b]16:15[/b] Retour au bureau
[b]16:16[/b] Connexion au site de MacG pour en rajouter une couche.
[b]16:46[/b] Recherche de l'Équipe dans le foutoir du bureau pour le remettre dans l'attaché case.
[b]17:00[/b] Départ de l'entreprise
[b]17:30[/b] Bonjours chéri ta journée s'est bien passée,
M'en parles pas, quelle journée, heureusement que je suis la, sinon la boite s'écroulerait ! :-)
Avec de tels professionnels, notre économie et notre industrie sont en béton.
La preuve !
Vivement demain !

avatar Yves SG | 

@ Brewenn

Sais pas dans quelle boite tu bosse, mais à part dans l'administration, je vois pas ou tu peux trouver un tel profil...

Ceci dit, c vrai qu'il y a bcp de post en semaine et en pleine journée !

avatar smow | 

@Brewenn : BRAVO; Il y a longtemps que je n'étais pas venu lire les réactions sur les actus de MacGé. J'avais oublié le nombre impressionnant d'experts de tous poils qui les rédigent… C'est stupéfiant! Merci de ton analyse pleine d'humour. En ce petit matin neigeux, ça fait du bien.

avatar Brewenn | 

@Yves SG
J'ai arrêté de travailler, vu que j'ai bien gagné ma vie et que je veux en profiter.
Mais pour arriver à cela auparavant je ne venais pas "glander" sur des blogs à refaire pour la énième fois l'informatique, j'étais beaucoup trop occupé, et si j'avais surpris un de mes collaborateurs à venir perdre son temps sur un blog de ce genre je l'aurai viré immédiatement. :-)

CONNEXION UTILISATEUR