C’est l’un des rapports de Secunia les plus visibles que la société ait publiés depuis un certain temps. Le rapport ratisse large et se montre limpide dans ses conclusions : un écart est en train de se creuser sur le PC, entre la sécurité des produits Microsoft d’une part, et le reste d’autre part.

Non que les produits de la firme de Redmond soient davantage sécurisés, car ce n’est pas là que Secunia souhaite en venir. Le rapport confirme plutôt d’autres publications de Symantec et McAfee dans le domaine de la sécurité des logiciels sous Windows : les pirates vont s’orienter avec le temps vers les applications tierces en s’éloignant des cibles traditionnelles que sont les systèmes d’exploitation et les navigateurs.

Via une procédure d’inspection en ligne, Secunia a pu analyser plus de 350 000 machines sous Windows à la recherche de failles de sécurité non corrigées. Le Software Inspector de la société cherche dont les logiciels et compare leurs numéros de version avec sa base de données, pour fournir ensuite un rapport détaillant les résultats.

Ce sont ainsi 4,9 millions de logiciels qui ont été contrôlés pour parvenir au résultat inquiétant de 1,4 million d’entre eux qui n’étaient pas à jour et contenaient au minimum une faille critique de sécurité. Si l’on garde d’ailleurs ce même critère de sécurité sur les failles critiques, les dangers ne sont pas nécessairement là où on les attend.

Pour Secunia, l’évolution est simple. Malgré la très grande inertie du monde informatique en regard des habitudes des utilisateurs, il existe depuis longtemps un réflexe qui n’a fait que s’accroître et qui concerne l’ensemble des produits Microsoft : mettre à jour. La quasi-totalité des patchs est désormais distribuée de manière automatique, et les utilisateurs n’ont plus à se soucier de la recherche manuelle.

Le constat est identique parmi les navigateurs. Habitués à entendre parler de problèmes liés à Internet Explorer, les utilisateurs sont désormais méfiants avec l’ensemble des logiciels connectés à Internet. Les navigateurs sont dans la catégorie des logiciels les plus souvent à jour. On retiendra les chiffres suivants, qui indiquent les parts des inspections qui ont mis en avant la présence d’au moins une faille critique non corrigée par le patch adéquat :

• Opera 9.x : 11,96 %
• Internet Explorer 6 : 9,61 %
• Internet Explorer 7 : 5,4 %
• Firefox 2 : 5,19 %

Il y a donc un impact direct à prendre en compte du côté des utilisateurs. En effet, penser la sécurité d’un logiciel comme inhérente à sa gestation n’est qu’une partie du problème, de même que la publication d’un correctif. Il faut également compter deux autres critères primordiaux : la manière dont sont distribués lesdits correctifs, ainsi que l’adoption par les utilisateurs.


Et c’est bien là que semble se concentrer le problème. Certains éditeurs ont trop tardé et tardent toujours à mettre en place de véritables infrastructures de mises à jour automatiques. L’exemple de QuickTime sous Windows est éloquent avec, selon Secunia, 33,14 % des versions contrôlées non mises à jour. Winamp ne s’en sort pas très bien non plus, avec 26,96 %. L’arrivée d’un système de mises à jour automatiques s’est faite sur le tard, n’habituant ainsi pas les utilisateurs à mettre à jour leurs logiciels multimédia.

Il faut bien avouer en outre que le multimédia n’est pas considéré autant que d'autres comme un vecteur d’attaque, alors qu’il l’est bel et bien. Comme le fait remarquer Secunia, il est très simple d’afficher une vidéo au format QuickTime dans une page web avec un titre provocant pour récolter une très bonne moisson d’utilisateurs.

Vous pouvez tester le Software Inspector depuis cette page. Les utilisateurs intéressés par la sécurité de leur système disposent désormais d’un moyen intéressant de faire un premier pas dans ce sens. Compatible avec Windows 2000, XP, 2003 et Vista, il s’installe dans Internet Explorer, Firefox et Opera via un applet Java. Il contrôlera ensuite les applications de la liste que l’on trouvera sur cette page.