Sécurité : le bonnet d'âne pour Apple
Sur le front de la sécurité, la dernière étude de Secunia [format PDF] portant sur le premier semestre 2010 n'est guère favorable à Apple. En effet, pour la première fois, la firme de Cupertino est en tête du classement des sociétés dont les produits contiennent le plus de vulnérabilités. Elle chipe la première place à Oracle, qui faisait la course seule en tête depuis 2006.
Derrière Apple et Oracle, on retrouve dans l'ordre Microsoft, HP, Adobe, IBM, VMware, Cisco, Google et Mozilla. Les auteurs de l'étude insistent également sur le fait que Microsoft est dans ses différentes études constamment mieux classée qu'Apple depuis 2006.
De manière générale, malgré de gros investissements, les sept entreprises en tête de ce classement ne parviennent pas à réduire au fil du temps le nombre de vulnérabilités découvertes dans leurs solutions : il s'agit d'un jeu du chat et de la souris éternel, où les failles bouchées sont remplacées par de nouvelles vulnérabilités.
Autre constatation de Secunia, le danger vient de plus en plus des logiciels tiers, qui sont potentiellement plus dangereux pour l'utilisateur que le système d'exploitation lui-même. En 2009, un PC équipé des 50 applications les plus populaires comportait 420 vulnérabilités, soit 200 de plus qu'en 2007.
Quels sont les logiciels non Microsoft pour lesquels le plus grand nombre de failles ont été trouvées ? Là encore, le constat n'est pas très flatteur pour la firme de Cupertino. Safari se classe deuxième avec 84 vulnérabilités, juste derrière Firefox (96), mais devant Java (70). iTunes, pour sa part, arrive en neuvième position avec 48 failles recensées.
Flash qui a été tant décrié sur ce point par Steve Jobs, se classe septième avec 51 failles recensées. Cependant, la situation n'est pas non plus catastrophique pour Apple. Car si elle présente un nombre de failles élevées, celles-ci sont en moyenne assez mineures.
Cependant, cette problématique n'est pas à prendre à la légère par Apple. Plus un produit est populaire, plus il retient l'attention des hackers. La manière dont la firme de Cupertino traite les problèmes de sécurité a souvent été critiquée par les experts, qui pointent notamment son manque de communication et de réactivité.
Derrière Apple et Oracle, on retrouve dans l'ordre Microsoft, HP, Adobe, IBM, VMware, Cisco, Google et Mozilla. Les auteurs de l'étude insistent également sur le fait que Microsoft est dans ses différentes études constamment mieux classée qu'Apple depuis 2006.
De manière générale, malgré de gros investissements, les sept entreprises en tête de ce classement ne parviennent pas à réduire au fil du temps le nombre de vulnérabilités découvertes dans leurs solutions : il s'agit d'un jeu du chat et de la souris éternel, où les failles bouchées sont remplacées par de nouvelles vulnérabilités.
Autre constatation de Secunia, le danger vient de plus en plus des logiciels tiers, qui sont potentiellement plus dangereux pour l'utilisateur que le système d'exploitation lui-même. En 2009, un PC équipé des 50 applications les plus populaires comportait 420 vulnérabilités, soit 200 de plus qu'en 2007.
Quels sont les logiciels non Microsoft pour lesquels le plus grand nombre de failles ont été trouvées ? Là encore, le constat n'est pas très flatteur pour la firme de Cupertino. Safari se classe deuxième avec 84 vulnérabilités, juste derrière Firefox (96), mais devant Java (70). iTunes, pour sa part, arrive en neuvième position avec 48 failles recensées.
Flash qui a été tant décrié sur ce point par Steve Jobs, se classe septième avec 51 failles recensées. Cependant, la situation n'est pas non plus catastrophique pour Apple. Car si elle présente un nombre de failles élevées, celles-ci sont en moyenne assez mineures.
Cependant, cette problématique n'est pas à prendre à la légère par Apple. Plus un produit est populaire, plus il retient l'attention des hackers. La manière dont la firme de Cupertino traite les problèmes de sécurité a souvent été critiquée par les experts, qui pointent notamment son manque de communication et de réactivité.
Du vrai n'importe quoi...qui peut bien classer par nombre de failles sans tenir compte de la dangerosité ?
Honte à Secunia, une boite qui ne devrait même pas exister, elle porte atteinte à la réputation de société sans en assumer les conséquences.
Pour faire un vrai classement, il faut attribuer un nombre de points par dangerosité, calculer le nombre de failles par dangerosité et diviser par le nombre d'utilisateurs du produit avec faille.
Il est préférable d'avoir un produit avec 50 micro-failles qu'avec 5 grosses failles !
Un produit utiliser par personne d'une part ne nuis à personne, d'autre part n'est pas mis à jour par l'éditeur.
Il serait plus intéressant de connaître le nombre de failles majeures parce que les failles mineures n'intéressent pas les pirates et autres. Il y a peu de résultats en les utilisant. De toute façon, ces études sont des indicateurs à prendre avec des pincettes pour les non spécialistes. Et encore une fois, le danger vient surtout des utilisateurs. Il ne faut pas rêver si un utilisateur pirate des logiciel, visite des sites frauduleux, installe n'importe quoi, ... il lui arrivera des bricoles sur sa machine qu'elle soit Apple ou autre.
Le nombre de faille est la plus nulle des métrique pour mesurer la sécurité d'un logiciel. Il faudrait plutot parler de nombre de jours exposé, de sévérité, d'exploitation des failles, de nombre d'infection. Bref la c'est la facilité. Apple est bcp atteins car ils utilisent bcp de composant libre de plus microsoft patch plusieurs faille en 1 fois dans en déclarer plusieurs, mais du à la nature ouverte de bpc de produit utilisé par Apple ce n'est pas possible. Bref pas sérieux, encore une fois.
@ Liocec && osidrys
Secunia n'est pas une boîte d'amateurs en sécurité. Le site est par exemple plus reconnu dans le domaine de la sécurité que celui proné par les administrations françaises... Les graphiques ne sont pas à prendre de manière isolés, il faut considérer l'ensemble. Certains sont manquants comme le temps de patch(le plus gros manque de ne mon point de vue). Pour ce qui est de la sévérité des failles le point est traité au niveau macroscopique. Pour les détails ils sont tous présents sur leur site, il n'y a pas de stats mais chaque faille a une évaluation de criticité. L'étude ne se veut pas exhaustive, on ne traite pas intégralement de la sécurité informatique en 19 pages.
Pour ceux qui voudraient creuser sur les stats de sécurité d'osx en 2010 :
http://secunia.com/advisories/product/96/?task=statistics_2010
(à noter qu'il manque toujours la notion du temps d'exposition)
Le gros souci d'Apple c'est le temps de réaction. Il est simplement inacceptable, y compris pour des failles vraiment dangereuses. Et oui, quand on fournit un navigateur qui est tellement intégré à l'OS qu'il faut redémarre pour le mettre à jour (une hérésie absolue introduite par... Microsoft et imitée par Apple), on est responsable de ses failles comme si c'étaient des failles de l'OS.
Comment peut-on mettre des mac en entreprise en sachant qu'une faille AppleScript connue et utilisable par un novice, permettant de passer root depuis l'application Terminal, a mis plus d'un mois a être corrigée ? Dans le monde pro c'est totalement disqualifiant. Et même pour un particulier, ce n'est pas rassurant : ça veut dire qu'il suffit de trouver une faille du navigateur, et hop, droits root immédiats alors que normalement c'est la partie la plus dure de l'exploitation d'une faille.
Une entreprise n'a pas toujours des admins à même de faire à la main ce qu'Apple devrait faire via l'application Mise à Jour de Logiciels. Microsoft était le champion de la lenteur de correction, il a été dépassé. Sous Linux on a généralement un patch dans le quart d'heure qui suit la diffusion d'une faille, et une version stable le jour suivant.
Mais comme désormais les gens qui dévoilent les failles au grand public peuvent être poursuivis en justice, pendant que les pirates les exploitent déjà depuis longtemps, les éditeurs de logiciels peuvent dormir sur leurs deux oreilles.
Secunia...
Qu'ils pensent d'abords à mettre leurs stats à jour. Ils ne font le plus souvent que collecter les failles quand elles sont mentionnées dans les mises à jour de sécurité d'Apple et des autres. Très mal parce qu'ils oublient souvent de signaler une faille comblée depuis belle lurette. Un simple rumeur, sans proof of concept fait parfois office de "faille", l'important étant d'alimenter le camembert.
Il n'y a aucune expertise chez eux, rien que des graphiques, une succession de dépêches et un classement obscure, qui au bout du compte qui ne veulent rien dire.
Secunia c'est l'inspecteur des travaux finis.
@ jabial : retourne à l'école. Et si elle est fermée, prends des cours de rattrapage. Même en troll t'es zéro pointé.
encore une fois trop d'infos tue l'info.
D'accord avec la plupart des commentaires précédent, le tableau veut tout dire et pas grand chose, un complément d'information/analyse plus profonde (en recoupant avec d'autres données de Secunia et de ses concurrents par exemple) aurait été la bienvenue, l'article est bien succinct, comme souvent...
Sinon la double apparition d'Acrobat (Acrobat et Acrobat Reader) et du Flash Player (Flash Player et AIR) est trompeuse, vu que ce sont des couples de produits dont l'un contient l'autre, il suffit de regarder les chiffres, identiques pour chacuns, pour comprendre.
(Histoire de modérer un peu le commentaire de Calintz, qui comme beaucoup ici s'en donnent à cœur joie dès qu'il s'agit de lyncher Adobe dès que l'occasion se présente - ou pas.)
@ Moonwalker :
Tu peux argumenter un minimum sur ta réponse à jabial, et en quoi son post est un troll ?
Parce qu'autant la faille AppleScript je n'en avais pas connaissance, autant la faille Java qui reste bien au chaud pendant 6 mois alors qu'un correctif était dispo chez Sun, je pense que tout le monde ici s'en souvient (enfin après certains ont des mémoires très sélectives...)
Rien que pour ça son commentaire ne me semble pas relever du troll, du moins pas plus que ta réponse hautaine au possible et sans la moindre contre-argumentation.
On ne demande qu'à partager ton savoir.
D'accords avec la plupart des commentaires :
18 ans sur Mac. 2 machines à la maison dont une allumée 24h sur 24 (développeur)
Bilan : 0 virus.
Je ne connais aucune personne dans mon entourage qui puisse en dire autant avec un autre système. Et pourtant je fréquente de nombreux utilisateurs puisque travaillant dans l'informatique.
Le bilan est le même pour tous les amis ou relations qui sont sur Mac.
Comme tout le monde, je pense que le niveau de dangerosité d'une faille est le critère déterminant. Le nombre est vraiment secondaire. De plus, de nombreuses failles sont totalement inexploitables en réseau (il faut un accès physique).
Mais peut-être (probablement) Secunia a quelque intérêt à faire courir ce genre "d'information".
Une faille de securite, c'est pas forcément un virus..
Va falloir arrêter de mélanger les deux. :)
@Zed-K
Je peux parler sérieusement de la sécurité de Mac OS X avec des gens sérieux, pas des affabulateurs mal informés. Et je n'ai pas la mémoire courte.
Sur la réactivité d'Apple, on a déjà tout dit par ici. Une faille ne se comble pas sans certaines précautions et vérifications. Si la mise à jour de sécurité apporte d'autres problèmes (on a déjà vu ça) tu transformes un risque potentiel souvent léger en emmerdement bien réel pour beaucoup plus de monde.
Lorsqu'une faille posait de graves problèmes de sécurité, Apple a toujours réagi promptement. La faille de Charlie Miller a fait l'objet d'une SecUpdate particulière (2010-003). Idem quand ça concerne QuickTime.
Par contre, le coup de la faille Java et Mac OS X le cul à l'air pendant six mois est clairement une faute de la part d'Apple. De même, le temps qu'il faut pour obtenir une mise à jour du plug-in Flash intégré.
Là aussi, Apple se fout du monde. A ce jour, 10.6.4 et 10.5.8 + SecUpdate 2010-004 tournent officiellement avec la version 10.0 r45. Une passoire ! Si Apple ne veut pas mettre à jour le plug-in Flash, qu'elle ne l'intègre pas, ce sera plus simple et plus sérieux.
Sur la sécurité, je rejoins Charlie Miller : il y a trop de failles, chez tout le monde. Le modèle doit être repensé, les OS plus robustes.
La méthodologie est faussée car mozilla par exemple rend publique toutes les failles alors que les logiciels propriétaire non.
Pour IE , safari, c'est uniquement les failles découvertes par des tiers qui le sont.
Forcement Mozilla en a beaucoup :-)
@ Hindifarai
Merci pour l'info mais ce n'était pas mon propos et il ne me semble pas dire non plus que cette étude est une bêtise car elle se veut exhaustive. Je ne parlais pas de la valeur du travail de Secunia qui pour en parler ne me paraît pas élevée. Je partage l'avis de Moonwalker sur ce point. Toutes ces études sont "intéressantes" pour les développeurs mais le problème vient aussi de l'utilisateur final. Une étude du mois de mars révélait que plus de 70 % des entreprises sur leurs serveurs utilise admin ou un mot de passe très faible ! Il ne faut pas s'étonner de problèmes de sécurité ensuite.
@lukasmars
Apple publie même les corrections qui sont issues de ses propres équipes. Il suffit de lire les détails de chaque mise à jour de sécurité disponibles sur son site.
@ Hindifarai :
Désolé, je fais de la formation en entreprises et je rencontre bon nombre d'ingé qui ont un très très bon niveau technique.
Pourtant certains sont loin d'être "intelligents" et font de grossières erreurs de diagnostiques, etc...et d'autres utilisent le stagiaire du coin pour remplir les dossiers d'études.
La compétence ne se juge que sur le résultat, et avancer des chiffres (même s'ils sont bien classés dans des tableaux) ne fait pas qu'ils soient représentatifs de la réalité.
Il existe en France et de par le monde de nombreuses sociétés de statistiques, "très sérieuses et compétentes" (sur la sécurité, la bourse, la politique, le chômage...) et quand on voit leurs chiffres comparés à la réalité, il y a parfois de quoi bien rigoler.
Bonjour @ tous,
Commentaires très intéressants.
je pense également qu'il faut bien différencier Failles de sécurité et Virus, 2 honteuses maladies.
Sur mac, je me suis longtemps amusé avec les premières car clairement, c'est un plaisir de les trouver, contourner, et de contempler avec plaisir le travail accompli.
Je suis persuadé qu'aujourd'hui les vrais menaces coté Apple sont de ce coté là.
Apple se repose trop sur des acquis de solidité, qui sont aujourd'hui obsolètes. C'est la rançon de la réussite!
Le sérieux de Apple dépend en partie de sa capacité à prévenir et répondre promptement aux attaques futurs qui seront financés par la concurrence qui se gargarisera de la moindre faille.
Microsoft à connu la même chose dans les années 90, je le sais bien, je m'amusais à profiter des moindre "back orifices" ( littéralement trou du cul!!), disponibles sous Windows. C'était juste marrant de faire la nick à Big Brother.
Le danger aujourd'hui pour Apple c'est de se retrouver rapidement ( pour le système d'exploitation mobile, c'est quasi-certain) dans le même cas de figure que Microsoft en 90.
Quel Chalenge pour la pomme. Comment rester cool et branché, tout en portant un rassurant costume veston cravate sécurisé, si chère aux entreprises.
Peut être en déclinant 2 identités solutions bien distinctes :
Une unité business, clairement austère mais ultra sécurisée. Couches IOS OS X, avec les suppléments sécurités entreprises.
Une unité anti-conformiste, créatrice, lancant nouveaux produits; electron libre toujours en guerre avec la première et redoublant d'efforts pour déceler failles et créatrice de virus pour la première. Couches IOS OS X, avec les suppléments créatifs et avant-gardistes prônés par le "end user"
Autonomes, séparées par de hauts murs. ADN communs, Frères ennemis, la boucle serait bouclée.
Même les actionnaires seront contents.
Hmmm. Il me semble que l'étude a été réalisée sur des PC, pas sur des Macs. Alors bon, que iTunes et Safari soient des passoires sur Windows, ça n'étonne personne, et d'ailleurs on s'en fout. Par contre, ça ne dit rien des failles de OSX. On sait qu'il y en a, mais à quel niveau? Comment sont-elles exploitables? Il me semble que sans le mot de passe root sur un système UNIX, on ne peut pas faire grand chose, mais je peux me tromper.
De toutes les façons une société qui classe mal Apple en terme de sécurité ne peut pas être digne de confiance. L'étude est forcément fausse!! C'est tout simplement impossible. Ça fait longtemps que des jaloux essayent de discréditer les produits incroyables d'Apple. Je ne comprend pas pourquoi MacGé relaye ce tissus de mensonges.
"Il me semble que sans le mot de passe root sur un système UNIX, on ne peut pas faire grand chose, mais je peux me tromper."
Justement, le principe d'une faille, c'est de faire ce qui est théoriquement impossible :-)
+1 Mabeille. C'est honteux de relayer des études aussi manifestement fausses et partiales tout ça pour participer, avec les autres haters de la marque et dans un grand complot mondial probablement orchestré par Google et Adobe, à la destruction systématique de l'image d'Apple. Apple ne fait pas d'erreur, ce sont les autres qui en font (et souvent volontairement).
@Celter et @Mabeille. Bande de gros Trolls! La ficelle est un peu grosse, vous ne trouvez pas?
Ah ben meme quand on est pro apple on est un troll maintenant... C'est beau.
@ cekter :
C'est l'heure de la prière, saint OS X et le pasteur Jobs t'attendent :)
[quote=Joneskind]
... Par contre, ça ne dit rien des failles de OSX. On sait qu'il y en a, mais à quel niveau? Comment sont-elles exploitables?[/quote]
Si avant d'écrire vous vous donniez la peine de faire un tour sur le site de Secunia, vous pourriez obtenir des réponses à vos questions.
@cekter
+1
Très bon article. Dommage que le facteur "temps d'exposition" ne soit pas traité dans l'étude de secunia.
Beaucoup de soft d'adobe, pour pas changer.