juillet 15th, 2010

C’est toujours à la mi-juillet que paraissent les « bilans » à mi-parcours des professionnels de la sécurité. Certains volontairement catastrophistes –il faut bien vendre- d’autres plus analytiques, plus « froids ». Et dans cette catégorie, l’on peut désormais ajouter le « half year report » de Secunia. C’est la première édition du genre.

De manière lapidaire, l’on y apprend qu’Apple est champion de failles (en nombre de CVE déclarées… chiffre sur lequel l’éditeur-constructeur-diffuseur n’a strictement aucune prise). Suivi de près par Oracle et Microsoft puis, avec un léger recul, HP, Adobe et IBM (dont les statistiques de comptage CVE grimpent en flèche depuis 2008). A eux tous, ils totalisent 38% des trous déclarés. A noter également une très forte baisse cette année du nombre de CVE attribué à Mozilla. Nous nous permettrons d’insister qu’il s’agit là d’un comptage des CVE, et non pas des correctifs ou des failles par ordre de dangerosité.

Le billet introductif de Niels Henrik Rasmussen, le patron de Secunia, précise qu’il n’y a pas franchement d’amélioration sur le front du bug : le nombre de failles découvertes est toujours aussi important, en dépit des politiques de développement plus strictes. Sans surprise, Secunia constate à l’instar de tous ses confrères, que le nombre de vulnérabilités liées aux programmes « tiers » est en très forte croissance par rapport aux logiciels et systèmes de « qui vous savez ». Sur une configuration Windows typique comptant une cinquantaine d’exécutables, dont la moitié sont d’origine MS et l’autre moitié de provenances diverses, la partie « étrangère » compte jusqu’à 3,5 fois plus de défauts que la partie Microsoft. Enfin, il semblerait que l’on mesure actuellement une forte croissance des découvertes de failles. Il se serait trouvé, durant ces 6 premiers mois 2010, autant de trous qu’il s’en est répertorié durant toute l’année passée.

Depuis la sortie de Windows « New Technology » 3.10, le développement commercial des systèmes d’exploitation de Microsoft s’effectue en 2 phases. Dans un premier temps, à la date officielle du lancement du système, quelques « early adopter » (ndt : en Français, optimistes inconscients) se dévouent pour essuyer les plâtres, tandis que le ban et l’arrière ban de l’industrie déploient à tours de bras… des maquettes ne sortant pas du cadre étroit de la « salle de tests informatiques ». C’est en fonction des cris d’angoisse ou de bonheur de ces éplucheurs de noyaux que s’entamera la seconde phase, celle de l’adoption ou du rejet généralisé du nouveau système d’exploitation. Mais attention, pas avant la sortie du sacro-saint Service Pack, sorte de cicatrice initiatique qui prouve que les défauts les plus gros ont bien été colmatés.

Cette semaine a vu paraître la première préversion du SP1 de Seven et de 2008 R2 (un fichier commun pour les deux systèmes). A télécharger aux risques et périls de l’impétrant-testeur. A quelques détails près, le SP1 appliqué à Windows 7 n’apporte rien qu’une impressionnante collection de colmatages et de consolidations. Celui de 2008 R2, en revanche, mérite que l’on se lance dans une installation préparatoire en raison de deux nouveautés : RemoteFX, la prise en compte du Windows Aero, d’animations Flash ou Silverlight depuis une machine Windows 7 virtuelle –fonction totalement inutile, donc absolument indispensable- et surtout de Dynamic memory, le gestionnaire de mémoire dynamique sous Hyper-V R2. C’est là une amélioration notable et grandement attendue.