Selon recherche de Beyond Trust, le nombre total de vulnérabilités liées aux produits Microsoft a augmenté de 48% par rapport à 2019. Pour décomposer les chiffres, j’ai consulté mon outil de référence pour les statistiques de vulnérabilité, Montre de pile.
C’est là que les choses deviennent intéressantes pour les observateurs de Microsoft, la société occupant la première place, par fournisseur, avec 1 188 vulnérabilités de sécurité publiées en 2020 par rapport à Google, en deuxième place, sur 950. Apple, pour mémoire, est arrivé au huitième rang avec 381 vulnérabilités.
A l’heure où nous écrivons ces lignes, les statistiques de 2021 sont similaires en termes de positionnement : Microsoft au premier rang avec 510 vulnérabilités, Google juste derrière avec 507 et Apple en neuvième avec 147.
Comment Windows 10 se compare-t-il à Android ou iOS en termes de vulnérabilité de sécurité ?
Et si nous regardions le produit plutôt que le fournisseur ? Microsoft s’en sortirait-il mieux ? Euh, non est la réponse.
En 2020, les produits Microsoft ont pris sept des dix premières places par vulnérabilité de produit. Windows 10 était en tête de l’arborescence avec 802 vulnérabilités, suivi de Windows Server 2016 sur 790 et de Windows Server 2019 avec 743.
Les dix premiers produits Microsoft restants étaient Windows Server 2012 à six, Windows 8.1 à sept, Windows RT 8.1 à huit et Windows 7 à dix.
Google, quant à lui, s’est classé au quatrième rang grâce à 696 vulnérabilités Android. Apple, cependant, n’est pas apparu avant le numéro 14 avec 233 vulnérabilités iOS.
Jusqu’à présent, le tableau des vulnérabilités de sécurité publié en 2021 semble meilleur pour Microsoft avec Windows 10 tombant au numéro trois sur 256, derrière Fedora et Debian Linux.
Cependant, Microsoft parvient toujours à revendiquer six des dix premières places. Google est également tombé au sixième rang avec 219 vulnérabilités Android, mais Chrome est nouveau à sept sur 172. Comment se porte Apple jusqu’à présent cette année ? iOS est tombé à 15 avec 111 vulnérabilités, mais macOS est à 14 avec 112.
La bonne nouvelle pour Microsoft est qu’il semble que Windows 10 soit en passe d’avoir moins de vulnérabilités de sécurité publiées que l’année dernière. La mauvaise nouvelle est que la note de criticité moyenne des vulnérabilités et expositions communes (CVE) en 2021 est supérieure à 2020, 7,54 contre 7,42. Les deux tombent dans la catégorie de gravité élevée.
À titre de comparaison, les vulnérabilités Android étaient en moyenne de 6,99 l’année dernière et de 6,84 ce, qui tombent dans la catégorie de gravité moyenne. Quant à Apple iOS, il figure également fermement dans la catégorie des mieux notés au cours des deux années, bien qu’inférieur à Windows 10 sur 7.12 pour 2020 et 7.30 en 2021.
Les vulnérabilités publiées sont-elles une bonne mesure pour mesurer l’insécurité de Windows 10 ?
Alors, est-ce une mauvaise nouvelle pour les utilisateurs de Windows 10 ? La réponse est à la fois oui et non.
À mon humble avis, cela reflète mal sur Microsoft pour les nombreux problèmes de sécurité avec Windows 10. Néanmoins, cela montre également que les plates-formes de découverte de vulnérabilités (pirates à la recherche de primes) et les processus de rapport fonctionnent bien.
J’ai approché Microsoft pour savoir si la taille de la base de code, Windows 10 aurait environ 50 millions de lignes de code, était un problème avec les processus devsec internes qui ne fonctionnaient pas aussi bien qu’ils le devraient mais n’avaient pas eu de réponse avant la publication.
« Il y a un niveau doux-amer dans le nombre de vulnérabilités signalées », déclare Jake Moore, spécialiste de la cybersécurité pour ESET, « lorsqu’il semble y avoir une énorme quantité ou une augmentation des CVE, on suppose souvent à tort qu’il y avait trop de bogues dans le premier place, mais ce que cela représente également, c’est que la plate-forme de découverte des vulnérabilités et la fonctionnalité de correctif fonctionnent bien et à plein régime.
Et, comme le dit Shlomie Liberow, architecte de sécurité principal chez HackerOne, une autre explication est que « comme Windows 10 est tellement plus largement utilisé, les chercheurs consacrent plus de temps à la recherche de vulnérabilités. »
« Les organisations font ce qu’il faut pour renforcer leur sécurité, car les tests de sécurité et les progrès de la correction s’améliorent, et c’est formidable à voir, d’autant plus que l’impact des cyberattaques devient de plus en plus répandu », ajoute Liberow.
La vérité est que tout code contiendra presque inévitablement des bogues.
« Qu’ils soient mauvais ou non, le point le plus important à noter est la rapidité avec laquelle ils peuvent être corrigés une fois qu’ils sont découverts avant qu’ils ne soient exploités de manière néfaste dans la nature. »
Et sur cette base, Microsoft fait ce qu’il faut avec les déploiements mensuels de Patch Tuesday et des mises à jour d’urgence occasionnelles, malgré le fait que les chiffres de vulnérabilité peuvent paraître choquants.
.
