L’éditeur Sourcefire s’est penché sur 25 années de failles de sécurité, entre 1988 et 2012. Il a pour cela étudié les entrées de la base CVE (Common Vulnerabilities and Exposures) ainsi que celles de la base du NIST (National Vulnerability Database).

Les résultats sont sans appel : tous les grands éditeurs et tous les produits populaires sont très largement représentés. Autant Oracle, qui jadis se déclarait « Unbreakable » (incassable) qu’Apple, qui dans l’imaginaire populaire est moins sujet aux failles que son rival Microsoft, en passant par le navigateur Firefox. Ils sont venus, ils sont tous là.

Premier constat, plutôt positif en apparence : après avoir fortement augmenté de 2003 à 2006, le nombre total de vulnérabilités découvertes est en diminution constante depuis 2007. Mais l’année 2012 a tout de même marqué une forte reprise qui, si elle se confirme en 2013, ramènerait le nombre de failles découvertes à son plus haut niveau depuis 2003. Mais la part des failles jugées critiques (niveau 10 au classement CVE) demeure, elle, en baisse constante.

Il semblerait donc qu’il y ait de moins en moins de vulnérabilités et qu’elles soient moins critiques (même si ces dernières représentent toutefois encore un tiers des failles découvertes)

Le rapport s’intéresse ensuite au type de ces vulnérabilités. Sans surprise, le buffer overflow est en tête du classement. Cela n’est guère étonnant si l’on considère qu’il a caracolé en tête durant ces deux dernières décennies, niché au sein d’applications souvent développées en C (un langage de programmation qui rend très faciles les erreurs de ce type). Nous pouvons suspecter que si le rapport se concentrait sur les dix dernières années seulement, l’injection SQL propre aux applications web devrait remonter dans le classement (elle est quatrième pour l’instant derrière le XSS et le contournement du contrôle d’accès).

D’ailleurs, il suffit de ne retenir plus que les vulnérabilités d’importance haute pour retrouver l’injection SQL en seconde place, toujours derrière le buffer overflow. Mais paradoxalement, si l’on change encore de grille de lecture et que l’on s’intéresse uniquement aux failles critiques, l’injection SQL disparait alors presque du classement, laissant le buffer overflow seul en tête… Ce qui pousse à juste titre les auteurs du rapport à déclarer le buffer overfow « faille de ces deux dernières décennies ».

Mais le morceau le plus instructif de cette étude demeure l’identification des coupables. Selon que l’on s’intéresse à toutes les vulnérabilités, seulement à celles jugées importantes ou uniquement celles critiques, le classement diffère du tout au tout. En revanche, les concurrents demeurent les mêmes : Microsoft, Apple, Oracle, Adobe, Mozilla… Personne n’y échappe.

Point intéressant à noter : si Microsoft fait la course en tête lorsqu’il s’agit du nombre total des vulnérabilités ou de celles jugées importantes, si l’on se concentre uniquement sur les vulnérabilités critiques c’est alors Oracle qui prend la tête. Voilà qui est qui remet à sa place le fameux slogan « Unbreakable » (incassable) de l’éditeur ! (même s’il faut reconnaître que le terme s’appliquait à une distribution Linux renforcée et non directement à la base de données phare)

En terme de produits, le noyau Linux, suivi de Firefox, MacOS et Chrome ont eu le plus de vulnérabilités découvertes. Ce qui peut s’expliquer par l’activité et la popularité de ces projets, qui concentrent alors toute l’attention des chercheurs (et c’est plutôt une bonne chose !).

Si l’on s’interesse en revanche uniquement aux failles critiques, alors Firefox, Thunderbird, Seamonkey (d’autres projets Libres de la Fondation Mozilla) et Chrome arrivent dans les hautes marches du podium. Attention cependant : il convient de bien lire l’étude avant d’en tirer de quelconques conclusions, car le mode de décompte des vulnérabilités peut varier selon les produits (chaque version de Windows compte pour un produit, MacOS compte pour trois et Linux un seul).

Du côté des navigateurs, enfin : Firefox et Chrome tienne la tête, suivis d’Internet Explorer et Safari.

Ce rapport ne manquera pas de servir tous les partisans des querelles de clochers de l’informatique : quelle que soit la technologie ou l’éditeur que l’on cherche à dénigrer, on y trouvera de quoi « prouver » qu’il n’est pas fiable. Mais heureusement, si cette étude démontre bien une chose, c’est que toute l’industrie est concernée. Et que plus un produit est populaire, plus il est soumis à l’attention de la communauté des chercheurs de failles des deux bords… contrairement à un produit moins visible, qui pourra continuer à être vulnérable beaucoup plus longtemps !

Le rapport est disponible au téléchargement ici, ou en ligne sur la communauté Qualys pour nos membres.