[Ceci est une version mise à jour / complétée de mon post du 23 mars 2007]

Tiens, je viens de tomber sur un article intéressant et qui mérite lecture :

Surprise, Microsoft Listed as Most Secure OS
http://www.internetnews.com/security/article.php/3667201

En résumé : Symantec dans son dernier rapport "Internet Threat Report XI" indique que windows est l'OS qui a eu le plus petit nombre de correctifs dans les 6 derniers mois de 2006 ainsi que le temps de mise à disposition du correctif le plus court (vs les autres OS du comparatif).

Dans tous les cas, le rapport est vraiment pas mal (je le lis depuis quelques années), sa dernière version est disponible à l'adresse suivante :

http://eval.symantec.com/mktginfo/enterprise/white_papers/ent-whitepaper_internet_security_threat_report_xi_03_2007.en-us.pdf

Un commentaire que m’a envoyé Benoit S. (via le lien contact)

“Pour une fois, l'étude pourrait sembler de bonne foie. Cependant, il faudrait regarder quels bogues cela concerne chez les distrib UNIX. Si c'est de la correction de pages MAN, c'est du foutage de geule de la part de Symantec. Par contre, si ce sont de véritables boques concernant des applications réellement installées et non des applications fantaisistes (dev d'étudiants), là l'étude est réaliste.”

 

Effectivement, maintenant il suffit de regarder quelques composants applicatifs gréffés généralement aux serveurs Linux (Apache, DNS Bind…) pour s’apercevoir qu’ils ont aussi des problèmes et doivent être comptabilité pour un comparatif “équitable” (typement pour comparer vs IIS 6, DNS windows….)

Pour compléter, je rajoute un autre lien sur le sujet :-)

Windows Vista – 90 days vulnerability report


Le rapport associé : http://www.csoonline.com/pdf/Vista_Vuln_Report.pdf 

Suite des commentaires de Benoit S.

“Concernant Windows Vista, on ne dispose pas à mon avis d'un parc assez étendu. De mémoire seulement 1% des postes sur Internet sont sous Vista. C'est trop peu. Même si les experts de sécurité s'acharnent, il leur faudra du temps pour juger l'OS.”

Effectivement, l’OS vient de sortir (enfin, il est disponible en version RTM depuis novembre 2006 pour les versions entreprises). Les experts de sécurité n’ont pas attendu pour se pencher sur le sujet (exemple : http://blogs.technet.com/stanislas/archive/2006/08/07/445320.aspx). Reste effectivement que la part de marché d’un OS influe forcément sur les efforts fournis pour chercher (et parfois trouver) des vulnérabilités. Il serait bon d’ailleurs de suivre les évolutions en terme de vulnérabilités trouvées / correctifs fournis pour Vista, Novell Entreprise Desktop 10, Mac OS X 10.5 (Léopard)….

Je ne l'avais pas précisé, mais l'étude Windows Vista 90 days vulnerability a été écrite par un Microsoftee (Jeff Jones - http://blogs.technet.com/security) donc à vous de juger la partialité ou l'impartialité de son analyse.

Pour avoir une vision en terme de vulnérabilités (reconnues et non reconnues) sur les diférents produits présentés dans le graphique précédent, on peut également chercher du côté de certains sites reconnus pour leur référencement (et vraiment pas pro Microsoft ou autre éditeur)

Voici la vision de Secunia (www.secunia.com) :

Pour Windows Vista :

source : http://secunia.com/graph/?type=adv&period=all&prod=13223

Source http://secunia.com/graph/?type=sol&period=all&prod=13223

Source : http://secunia.com/graph/?type=cri&period=all&prod=13223


Pour Windows XP  :

Source : http://secunia.com/graph/?type=adv&period=all&prod=22

Source : http://secunia.com/graph/?type=sol&period=all&prod=22

Source : http://secunia.com/graph/?type=cri&period=all&prod=22

 

Pour RedHat Enterprise Linux WS 4 :

Source : http://secunia.com/graph/?type=adv&period=all&prod=4670

Source : http://secunia.com/graph/?type=sol&period=all&prod=4670

Source : http://secunia.com/graph/?type=cri&period=all&prod=4670

 

Pour Ubuntu Linux 6.06 :

Source : http://secunia.com/graph/?type=adv&period=all&prod=10611

Source : http://secunia.com/graph/?type=sol&period=all&prod=10611

Source : http://secunia.com/graph/?type=cri&period=all&prod=10611


Pour Novell Linux Open Suse 10.2 (je n'ai pas trouvé Novel SLED10 sur secunia)

Source : http://secunia.com/graph/?type=adv&period=all&prod=13375

Source : http://secunia.com/graph/?type=sol&period=all&prod=13375

Source : http://secunia.com/graph/?type=cri&period=all&prod=13375


Pour Mac OS X

Là malheureusement, Secunia n'est pas très granulaire et ne permet pas de distinguer les différentes versions lancées depuis 2003:

- Mac OS X 10.3 "Panther"
- Mac OS X 10.4 "Tiger"

Plus d'informations sur les dates des diverses version de Mac OS X : http://fr.wikipedia.org/wiki/Mac_OS_X

Source : http://secunia.com/graph/?type=adv&period=all&prod=96

Source : http://secunia.com/graph/?type=sol&period=all&prod=96

Source : http://secunia.com/graph/?type=cri&period=all&prod=96

Au final, la seule chose à retenir de tout cela c’est que toute l’industrie est concernée par ces problèmes de vulnérabilités et de correctifs.

La gestion des correctifs est donc à prendre très au sérieux et ne peut et doit pas être traitée uniquement de manière technique (pas de logiciels de télédistribution miracle) mais aussi et surtout grâce à des processus et des personnes formées.

Sur l’aspect gestion des correctifs, je vous encourage à la lecture de 2 documents :

Guide Microsoft de gestion des correctifs:
http://www.microsoft.com/france/securite/it/dossiers/correctifs/default.mspx

Le processus de gestion des correctifs en entreprise : méthodes recommandées
http://www.microsoft.com/france/technet/themes/secur/secmod193.mspx

Au passage je rajoute un lien vers une étude récente d’IBM (enfin plutôt issue des équipes d’ISS récemment rachetées par IBM) :

IBM Internet Security Systems X-Force® 2006 Trend Statistics : http://www.iss.net/documents/whitepapers/X_Force_Exec_Brief.pdf  (je n’ai pas encore lu le document mais il me semble assez riche)