C’est toujours à la mi-juillet que paraissent les « bilans » à mi-parcours des professionnels de la sécurité. Certains volontairement catastrophistes –il faut bien vendre- d’autres plus analytiques, plus « froids ». Et dans cette catégorie, l’on peut désormais ajouter le « half year report » de Secunia. C’est la première édition du genre.
De manière lapidaire, l’on y apprend qu’Apple est champion de failles (en nombre de CVE déclarées… chiffre sur lequel l’éditeur-constructeur-diffuseur n’a strictement aucune prise). Suivi de près par Oracle et Microsoft puis, avec un léger recul, HP, Adobe et IBM (dont les statistiques de comptage CVE grimpent en flèche depuis 2008). A eux tous, ils totalisent 38% des trous déclarés. A noter également une très forte baisse cette année du nombre de CVE attribué à Mozilla. Nous nous permettrons d’insister qu’il s’agit là d’un comptage des CVE, et non pas des correctifs ou des failles par ordre de dangerosité.
Le billet introductif de Niels Henrik Rasmussen, le patron de Secunia, précise qu’il n’y a pas franchement d’amélioration sur le front du bug : le nombre de failles découvertes est toujours aussi important, en dépit des politiques de développement plus strictes. Sans surprise, Secunia constate à l’instar de tous ses confrères, que le nombre de vulnérabilités liées aux programmes « tiers » est en très forte croissance par rapport aux logiciels et systèmes de « qui vous savez ». Sur une configuration Windows typique comptant une cinquantaine d’exécutables, dont la moitié sont d’origine MS et l’autre moitié de provenances diverses, la partie « étrangère » compte jusqu’à 3,5 fois plus de défauts que la partie Microsoft. Enfin, il semblerait que l’on mesure actuellement une forte croissance des découvertes de failles. Il se serait trouvé, durant ces 6 premiers mois 2010, autant de trous qu’il s’en est répertorié durant toute l’année passée.