C'est l'absence de mises à jour pour corriger certaines failles, associée à la capacité des logiciels de sécurité à détecter certaines attaques ou un bout de code malveillant, qui reste l'une des principales raisons pour laquelle les ordinateurs se trouvent infectés par des logiciels malveillants. Les cybercriminels le savent bien, passant les applications au crible pour trouver un moyen de s'introduire, voire de prendre le contrôle des ordinateurs.

Sur le top 50 des programmes utilisés par ses deux millions d'utilisateurs, Secunia a constaté que 26 de ces programmes étaient réalisés par Microsoft, lequel utilise un mécanisme de mise à jour automatique pour distribuer ses correctifs (tous les deuxièmes mardi de chaque mois). « En 2009, sur les 420 vulnérabilités détectées dans les 50 programmes identifiés, environ 35 pour cent d'entre elles concernaient des logiciels Microsoft, » a déclaré Stefan Frei, directeur de recherche et analyste chez Secunia. "Les autres failles, soit 65 pour cent des vulnérabilités concernant 24 logiciels restants, affectaient des applications de tierce partie, d'Adobe Systems, d'Apple et autres. Ceux-là utilisent jusqu'à 13 mécanismes de mise à jour différents pour appliquer leurs patches," a-t-il expliqué. "Beaucoup de ces applications sont adossées à des mécanismes de mise à jour automatique, mais aucune n'est programmée pour vérifier l'existence de nouveaux correctifs," a-t-il ajouté. Ce qui laisse une certaine marge de manoeuvre aux cybercriminels. "Cela montre clairement pourquoi la cybercriminalité persiste," a estimé Stephan Frei. Selon lui, "les cybercriminels n'ont pas besoin de Microsoft." Car même lorsqu'un patch est réalisé et distribué correctement, "de nombreux d'utilisateurs continuent à utiliser deux ou trois applications qui ne sont pas corrigées," a-t-il encore déclaré.  "En 2009, Secunia a proposé aux éditeurs de logiciels de créer un protocole commun à tous les vendeurs de manière à distribuer leurs correctifs plus rapidement. Mais aucun accord n'a pu être trouvé," a-t-il regretté.

Mise à jour transparente et automatique

C'est pourquoi Secunia a mis au point sa "formule secrète" pour réaliser avec PSI 2.0 des mises à jour automatique discrète et en toute transparence de nombreuses applications. "L'inspecteur est compatible avec quelques applications, et nous travaillons à augmenter le nombre de logiciels avec lesquels il peut fonctionner," a confié Stephan Frei. "Si l'éditeur distribue son patch d'une manière qui nous permet d'automatiser le téléchargement de l'installation, alors, ça marche." PSI réalise un inventaire des applications présentes sur l'ordinateur d'une personne et regarde leur numéro de version. Plusieurs fois par jour, il vérifie ensuite avec Secunia si un nouveau patch est disponible, en général sans modifier la configuration par défaut de l'application que les utilisateurs peuvent néanmoins désactiver. "Secunia recommande de laisser PSI tourner en arrière-plan, car c'est une application légère," a déclaré le chercheur.

Un usage intensif après l'installation

Depuis la sortie de la version 2.0 de PSI - encore en bêta - il y a quelques jours, le logiciel a été téléchargé par plus de 6 500 personnes et plus de 10 000 patches ont été installés. "Chaque utilisateur a donc appliqué au moins un patch. Le nombre de téléchargements de PSI et de correctifs appliqués est surprenant," a déclaré Stephan Frei. Secunia a ainsi recensé plus de 2 000 installations de correctifs pour le Player Flash d'Adobe et plus de 1 000 pour le Reader. Selon le blog de Secunia, les autres applications les plus fréquemment patchées incluent Java JRE de Sun, Adobe Air, Irfan View, le navigateur Web Opera, Skype, Wireshark et le navigateur Firefox. "La version finale - et gratuite -  du logiciel PSI 2.0 de Secunia devrait être livrée d'ici la fin de l'année," a précisé Stephan Frei.