Comme tous les ans, le site CVE Details s’est plongé dans les compilations de la National Vulnerability Database (NVD) pour comptabiliser toutes les vulnérabilités connues des logiciels et systèmes d’exploitation. Après Internet Explorer de Microsoft, Mac OS X d'Apple, le noyau Linux, Google Chrome et iOS d'Apple en 2014, le Top cinq 2015 place Apple sur la première marche avec 384 failles pour OS X, immédiatement suivi d’iOS avec 375 vulnérabilités. Pour compléter ce peloton de tête, citons Adobe Flash Player, avec 314 vulnérabilités, AIR SDK d'Adobe, avec 246 vulnérabilités, et Adobe AIR lui-même, avec 246 vulnérabilités.

Comme son nom l'indique, le système Common Vulnerabilities and Exposures (CVE) garde la trace et le détail des vulnérabilités et des failles de sécurité publiquement connues. Mais le classement sépare curieusement les familles de produits. Ainsi, si toutes les versions d’OS X sont regroupées sous le même item, les différentes moutures de Windows sont réparties séparément ce qui peut sembler fausser le classement final. L'argument à l’origine de cette distinction est probablement les parts de marché occupées par les différents Windows, bien qu’Android et iOS ne soient eux pas divisés en versions distinctes dans ce même classement. Il est également intéressant de souligner que le noyau Linux est séparé des différentes distributions Linux. Ceci est probablement dû au fait que le noyau Linux peut être mis à jour indépendamment du reste du système d'exploitation. Les vulnérabilités sont ainsi classées à part.

 

En 2015, Microsoft était toujours devant Adobe et Apple pour le nombre de failles cumulées dans ses produits. C'est aussi le premier éditeur de logiciels au monde.

Si nous prenons les 50 premiers produits en les classant par éditeurs, il est facile de voir que les trois premiers sont Microsoft, Adobe et Apple. Il faut toutefois ajouter qu’il ne s’agit ici que des vulnérabilités connues. Les fournisseurs IT (éditeurs, équipementiers réseau ou encore constructeurs) ne partagent pas les mêmes pratiques en matière de divulgation des failles de sécurité. Chez certains, c’est l’omerta ou la politique de la chaise vide, particulièrement chez certains fournisseurs asiatiques (voir problème récent avec les routeurs fabriqués par Shenzhen Gongjin Electronics).

La meilleure approche reste toujours d’appliquer rapidement les mises à jours proposées par les éditeurs, notamment pour les produits gratuits comme Adobe Flash Player et les navigateurs web.