C'était la polémique de la semaine. Mardi 18 décembre, George Ou, connu pour son amour débordant envers Apple, publie sur le blog de l'un de ses confrères de ZDNet une compilation maison des statistiques de vulnérabilités de Secunia. La conclusion est édifiante : cinq fois plus de failles ont été découvertes dans Mac OS X que dans Windows Vista et XP Pro réunis. MacGeneration reprend l'information, en soulignant que Mac OS X, contrairement aux deux systèmes de Microsoft, n'a été victime d'aucune faille hautement critique.
À la lecture de vos réactions, des clarifications s'imposent. D'abord, ces failles ne sont pas imaginaires. Elles sont bien recensées sur le site de Secunia. Ensuite, prises hors contexte, elles sont en effet plus nombreuses sur Mac OS X que sur Windows XP Pro et Vista. Mais ces éléments sont insuffisants pour en tirer la moindre conclusion. Secunia est d'ailleurs le premier à mettre en garde les apprentis statisticiens. "Les statistiques que nous fournissons ne doivent PAS être utilisées pour comparer globalement la sécurité d'un produit contre un autre", écrit ce spécialiste de la sécurité.
En effet, Secunia ne couvre pas toutes les failles et reporte parfois des doublons. George Ou affirme dans son billet les avoir ôtées. Mais il en subsiste au moins sept, comme le note un internaute, tandis que plusieurs autres ont été annulées depuis par le CVE. Pour parvenir à des résultats plus fiables, George Ou s'attache également à ne retenir que les failles de Mac OS 10.4 et 10.5, comparées à Windows XP (Professionnel uniquement) et Vista. Seulement, il en laisse passer des précédents systèmes, comme cette faille sur Bonjour et iChat dans Panther. Enfin, plusieurs vulnérabilités ne mentionnent pas clairement la version du système affectée, notamment s'il s'agit de Mac OS X Server.
Autre biais, les failles ne concernent parfois Mac OS X que de loin, alors que celles sur Windows sont le plus souvent intimement liées au système. Il y d'abord tous les éléments inclus par le système d'Apple, comme PHP ou Java. Soit. Plus aberrant, la liste de décembre débute par exemple avec une faille de Flash présente dans la colonne Mac OS X mais absente des colonnes Windows, alors qu'elle a été réréfencée par Microsoft. En face, Windows XP était au même moment touché par une attaque par débordement de tampon (buffer overflow) sur Windows Media ou DirectX, autrement plus grave. Les Mac ne sont toutefois pas épargnés. George Ou liste à raison des failles de QuickLook, du logiciel de mise à jour ou des composants de réseau. Seulement, elles sont théoriquement moins dangereuses (près du tiers des vulnérabilités Mac concernent des dénis de service, alors qu'une moitié sur Windows - et 16% sur Mac - ouvrent un accès au système).
Au final, si l'on joue le jeu du comparatif, l'écart s'amenuise quelque peu. Mais Mac OS X reste devant Windows. Est-ce important ? "Plus il y a de failles mensuelles dans le récapitulatif et plus il y a des chances que quelqu'un trouve une brèche et l'exploite dans le futur", avertit Georges Ou. C'est tout le contraire, selon Tristan Nitot, président de la fondation Mozilla Europe. Début décembre, Microsoft a publié un rapport aux méthodes comparables établissant que Firefox a été davantage touché par des failles de sécurité qu'Internet Explorer. Cette sombre comptabilité est une méthode "infecte" pour juger de la sécurité d'un produit, expliquait alors Tristan Nitot à ZDNet UK, conseillant de prendre en compte la durée nécessaire à la correction des failles, autrement dit le temps pendant lequel l'utilisateur est exposé, et leur importance. Sans parler de leur exploitation effective.
Le dépouillage des vulnérabilités reste pourtant abordable et séduisant, car il permet à peu de frais d'aboutir à des conclusions marquantes. Firefox plus sûr qu'Internet Explorer ? Mac OS X plus sûr Windows ? "Clairement, cela va à l'encontre des idées reçues car les chiffres montrent tout le contraire", écrit George Ou. Ce sont les chiffres qui parlent. Les éditeurs de logiciels sont habitués de l'exercice. Il y a deux ans, c'était Symantec, analyse anxiogène des vulnérabilités à l'appui, qui sonnait l'alarme. Avec le nouvel engouement pour les Mac, il fallait se préparer au pire. Dernièrement, c'est McAfee, déjà fort inquiet, qui a remis ça avec son cheval de Troie pour Mac, signe de l'intérêt grandissant des pirates pour le Mac. Depuis ? Plus rien. Pas de "brèche exploitée". De quoi s'astreindre à la plus grande vigilance, aussi bien face aux menaces - virus, codes malveillants, intrusions - contre lesquels les Mac ne sont évidemment pas immunisés, que contre leur supposée prolifération.
Les logiciels malveillants sous Mac OS X
Leap.A, ou OSX/Oomp-A
Détecté pour la première fois en février 2006 sur les forums de MacRumors, où un internaute proposait des photos factices de Leopard, Leap.A est le premier logiciel malveillant à cibler Mac OS X. Il se répand par iChat et infecte les applications récemment utilisées, sans rien effacer.
OSX/Inqtana.A
Ce virus se propage... par Bluetooth. Particulièrement inoffensif, il s'agit en fait d'une preuve de concept (proof of concept). Une déclinaisons signalée par Intego serait capable d'ouvrir une porte dérobée.
OSX.RSPlug.A
C'est la dernière alerte en date. Découvert par McAfee, ce cheval de Troie redirige certaines pages internet vers des sites de phishing. Il s'installe en même temps que des codecs vidéos factices de QuickTime, vantés pour visionner des vidéos pornographique.
iTunes 2
La mise à jour vérolée d'Apple, qui s'est permis d'effacer au passage quelques disques durs, reste encore aujourd'hui l'un des pires logiciels malveillants connus pour Mac OS X. ;)
Et aussi... OSX.Exploit.MetaData et Exploit.OSX.Safari, qui exploitaient des failles bouchées par Apple.
À la lecture de vos réactions, des clarifications s'imposent. D'abord, ces failles ne sont pas imaginaires. Elles sont bien recensées sur le site de Secunia. Ensuite, prises hors contexte, elles sont en effet plus nombreuses sur Mac OS X que sur Windows XP Pro et Vista. Mais ces éléments sont insuffisants pour en tirer la moindre conclusion. Secunia est d'ailleurs le premier à mettre en garde les apprentis statisticiens. "Les statistiques que nous fournissons ne doivent PAS être utilisées pour comparer globalement la sécurité d'un produit contre un autre", écrit ce spécialiste de la sécurité.
En effet, Secunia ne couvre pas toutes les failles et reporte parfois des doublons. George Ou affirme dans son billet les avoir ôtées. Mais il en subsiste au moins sept, comme le note un internaute, tandis que plusieurs autres ont été annulées depuis par le CVE. Pour parvenir à des résultats plus fiables, George Ou s'attache également à ne retenir que les failles de Mac OS 10.4 et 10.5, comparées à Windows XP (Professionnel uniquement) et Vista. Seulement, il en laisse passer des précédents systèmes, comme cette faille sur Bonjour et iChat dans Panther. Enfin, plusieurs vulnérabilités ne mentionnent pas clairement la version du système affectée, notamment s'il s'agit de Mac OS X Server.
Autre biais, les failles ne concernent parfois Mac OS X que de loin, alors que celles sur Windows sont le plus souvent intimement liées au système. Il y d'abord tous les éléments inclus par le système d'Apple, comme PHP ou Java. Soit. Plus aberrant, la liste de décembre débute par exemple avec une faille de Flash présente dans la colonne Mac OS X mais absente des colonnes Windows, alors qu'elle a été réréfencée par Microsoft. En face, Windows XP était au même moment touché par une attaque par débordement de tampon (buffer overflow) sur Windows Media ou DirectX, autrement plus grave. Les Mac ne sont toutefois pas épargnés. George Ou liste à raison des failles de QuickLook, du logiciel de mise à jour ou des composants de réseau. Seulement, elles sont théoriquement moins dangereuses (près du tiers des vulnérabilités Mac concernent des dénis de service, alors qu'une moitié sur Windows - et 16% sur Mac - ouvrent un accès au système).
Au final, si l'on joue le jeu du comparatif, l'écart s'amenuise quelque peu. Mais Mac OS X reste devant Windows. Est-ce important ? "Plus il y a de failles mensuelles dans le récapitulatif et plus il y a des chances que quelqu'un trouve une brèche et l'exploite dans le futur", avertit Georges Ou. C'est tout le contraire, selon Tristan Nitot, président de la fondation Mozilla Europe. Début décembre, Microsoft a publié un rapport aux méthodes comparables établissant que Firefox a été davantage touché par des failles de sécurité qu'Internet Explorer. Cette sombre comptabilité est une méthode "infecte" pour juger de la sécurité d'un produit, expliquait alors Tristan Nitot à ZDNet UK, conseillant de prendre en compte la durée nécessaire à la correction des failles, autrement dit le temps pendant lequel l'utilisateur est exposé, et leur importance. Sans parler de leur exploitation effective.
Le dépouillage des vulnérabilités reste pourtant abordable et séduisant, car il permet à peu de frais d'aboutir à des conclusions marquantes. Firefox plus sûr qu'Internet Explorer ? Mac OS X plus sûr Windows ? "Clairement, cela va à l'encontre des idées reçues car les chiffres montrent tout le contraire", écrit George Ou. Ce sont les chiffres qui parlent. Les éditeurs de logiciels sont habitués de l'exercice. Il y a deux ans, c'était Symantec, analyse anxiogène des vulnérabilités à l'appui, qui sonnait l'alarme. Avec le nouvel engouement pour les Mac, il fallait se préparer au pire. Dernièrement, c'est McAfee, déjà fort inquiet, qui a remis ça avec son cheval de Troie pour Mac, signe de l'intérêt grandissant des pirates pour le Mac. Depuis ? Plus rien. Pas de "brèche exploitée". De quoi s'astreindre à la plus grande vigilance, aussi bien face aux menaces - virus, codes malveillants, intrusions - contre lesquels les Mac ne sont évidemment pas immunisés, que contre leur supposée prolifération.
Les logiciels malveillants sous Mac OS X
Leap.A, ou OSX/Oomp-A
Détecté pour la première fois en février 2006 sur les forums de MacRumors, où un internaute proposait des photos factices de Leopard, Leap.A est le premier logiciel malveillant à cibler Mac OS X. Il se répand par iChat et infecte les applications récemment utilisées, sans rien effacer.
OSX/Inqtana.A
Ce virus se propage... par Bluetooth. Particulièrement inoffensif, il s'agit en fait d'une preuve de concept (proof of concept). Une déclinaisons signalée par Intego serait capable d'ouvrir une porte dérobée.
OSX.RSPlug.A
C'est la dernière alerte en date. Découvert par McAfee, ce cheval de Troie redirige certaines pages internet vers des sites de phishing. Il s'installe en même temps que des codecs vidéos factices de QuickTime, vantés pour visionner des vidéos pornographique.
iTunes 2
La mise à jour vérolée d'Apple, qui s'est permis d'effacer au passage quelques disques durs, reste encore aujourd'hui l'un des pires logiciels malveillants connus pour Mac OS X. ;)
Et aussi... OSX.Exploit.MetaData et Exploit.OSX.Safari, qui exploitaient des failles bouchées par Apple.