En 2015, Android affichait moins de vulnérabilités qu'iOS, OS X, Windows et Ubuntu. Oui, mais...

Le site CVE Details a publié une liste des logiciels et systèmes d'exploitation pour lesquels le plus de vulnérabilités ont été enregistrées.

Si l'on en croit les nombreux rapports des cabinets de sécurité, les failles sur Android sont monnaie courante. Outre les attaques orchestrées via des applications vérolés, on se souvient surtout de Stagefright qui pouvait mettre à mal quelque 950 millions de smartphones via un simple MMS. Google a même dû signer avec divers constructeurs comme Samsung et BlackBerry pour obtenir un rythme de mises à jour plus soutenu (mensuel) semblable à la famille Nexus.

Et pourtant, à en juger par un rapport de CVE Details, passant au crible les 50 logiciels et systèmes les plus affectés par des failles de sécurité découvertes en 2015, le système mobile de Google n'est qu'en vingtième place avec au total 130 vulnérabilités répertoriées entre le 1 janvier et le 31 décembre 2015.

C'est Apple qui se trouve en tête du classement avec 384 vulnérabilités pour OS X et 375 pour iOS. Côté navigateur, Internet Explorer serait le plus mal loti avec 231 failles répertoriées contre 187 pour Chrome et 178 pour Mozilla Firefox. Dans le courant de l'année dernière, les experts en sécurité auraient remonté 151 rapports de sécurité concernant Windows 8.1 et 152 pour Linux Ubuntu.

CVE Details


Des chiffres trompeurs


Mais avant de crier sur les toits qu'Apple conçoit les pires OS et que Windows est plus sécurisé que Linux, il est toutefois nécessaire de prendre en compte certains éléments étrangement absents de ce tableau. En effet, ces chiffres ne sont pas très parlants. D'une part, CVE Details englobe toutes les versions d'OS X et iOS sans aucune distinction alors que cette dernière est faite pour les différentes éditions de Windows.

En outre, la sévérité de ces failles est inconnue. Il est néanmoins nécessaire de faire la distinction entre un code pouvant être librement exécuté à distance et un autre nécessitant d'être authentifié en tant qu'administrateur... Enfin, il ne s'agit que des vulnérabilités rapportées, ce qui n'englobe pas l'ensemble des découvertes effectuées par les experts en sécurité ou des hackeurs.
Modifié le 04/01/2016 à 16h46
Commentaires