En 2016, 92,5% des failles détectées dans les 50 logiciels les plus populaires ont reçu un correctif de la part de leurs éditeurs dès le premier jour de leur révélation. Pour l’ensemble des vulnérabilités identifiées, la proportion de correctifs reçus aussi rapidement descend à 81%. C’est ce qu’indique le rapport 2017 sur les vulnérabilités logicielles publié par le fournisseur de solutions de sécurité Flexera Software, à partir des données de sa filiale Secunia Research. Cette synthèse souligne aussi que le lecteur PDF d’Adobe présente un fort taux de vulnérabilités non corrigées. Or, ce dernier est à la 31e place des logiciels les plus utilisés, installé sur 40% des ordinateurs personnels.

Au total, le rapport 2017 de Secunia décompte 17 147 vulnérabilités sur l’année dernière, repérées dans 2 136 logiciels provenant de 246 éditeurs. Cela représente une augmentation de 6% par rapport à 2015. Toutefois, Secunia précise s’être cette fois concentrée sur les fournisseurs et produits gérés dans les environnements qu’elle suit, ce qui a réduit de 14% le nombre de produits pris en compte. Si l’on considère son Top 50 des 50 logiciels les plus couramment trouvés sur les ordinateurs, dont 35 produits Microsoft, on constate une baisse de 21% du nombre de vulnérabilités découvertes en 2016 par rapport à 2015, soit 1 626 failles dans 25 produits édités par 7 vendeurs auxquels s’ajoutent l’OS le plus utilisé, Windows 7.

Légère baisse des failles zero-day en 2016 par rapport à 2015

Le nombre de faille hautement critiques et extrêmement critiques a représenté 72,5% des vulnérabilités du Top 50 étudié par Secunia Research en 2016. Le nombre de vulnérabilités zero-day est un peu inférieur à celui de 2015 : 22 ont été découvertes l’an dernier contre 16 en 2015. Majoritaires dans ce top 5, les logiciels de Microsoft ne sont en revanche concernés que par 22,5% des failles. 

Sur l'ensemble des logiciels examinés par le rapport 2017 de Flexera Software, le nombre de failles hautement et extrêmement critiques s'établit à 18,5% contre 72,5% pour les logiciels du Top 50. (crédit : Secunia Research)

A noter que, malgré la réaction généralement rapide des éditeurs sur les correctifs, le taux de failles corrigées ne progresse que de 1% au bout de 30 jours. Secunia l’explique par la variété des terminaux que les entreprises et organisations doivent gérer, dont certains ne sont pas régulièrement connectés à des réseaux professionnels. Parmi les évolutions notables, Secunia signale une hausse de 27,7% par rapport à 2015 sur les failles (713 en 2016) repérées dans les 5 navigateurs les plus utilisés : Google Chrome, Mozilla Firefox, Internet Explorer, Opera et Safari.