Face à l'exploitation de failles, les fournisseurs redoublent d'efforts pour éviter le pire. Leur seul moyen : fournir le plus tôt possible des correctifs pour permettre aux entreprises de mettre à jour les logiciels et services concernés. Une situation qui peut déboucher sur un véritable casse-tête lorsque ces pluies de mises à jour tombent en même temps. Un problème soulevé justement par Risk Based Security dans son rapport intermédiaire sur les vulnérabilités qui ont marquées la première moitié de 2020. Baptisé « Fujiwhara », cet événement coïncide avec le lancement simultané de plusieurs salves de correctifs par des fournisseurs différents.

Cette année, ce phénomène a connu une ampleur inédite avec jusqu'à 506 patchs à appliquer le 14 avril 2020, dont 230 rien que pour Oracle, 113 pour Microsoft, 29 pour SAP, 5 pour Oracle et 129 pour un ensemble d'autres éditeurs (Apple, Mozilla, Intel, Cisco...). Cela a également été le cas pour les 14 janvier et 14 juillet 2020, avec une hécatombe de patchs à appliquer mettant les entreprises, au mieux au pied du mur, au pire, dans l'embarras le plus total. « Cela illustre juste à quel point ces événements sont peu fréquents et pourquoi ils constituent un point de stress et un risque supplémentaire pour les organisations. Il est important de noter que l'événement unique de Fujiwhara en 2015 a vu un total de 277 vulnérabilités divulguées à partir de tous les rapports de la journée, soit moins de la moitié du Fujiwhara d'avril cette année », pointe le rapport.

Les OS mobiles, vivier à vulnérabilités

Parmi les points saillants de son étude, Risk Based Security a identifié au 1er semestre 2020 11 121 vulnérabilités, soit moins que les 12 118 de 2019 et en-dessous des 11 697 de 2018. Il faut remonter au S1 2017 pour trouver un nombre de vulnérabilités inférieur. L'année en cours constituerait-elle un répit en termes de cyber-risque ? Rien n'est moins sûr : « Rien n'indique une baisse des vulnérabilités, au contraire avec de plus en plus de logiciels, d'IoT et de télétravailleurs. Le Covid-19 semble avoir étouffé les rapports de vulnérabilités et il faudra attendre le total final 2020 pour déterminer ce qui a pu influencer les chiffres », prévient Risk Based Security.

Parmi les fournisseurs ayant déclaré le plus de vulnérabilités, arrive en tête Microsoft (762), Oracle (612), Google (563), Red Hat (550) SuSE (519), IBM (446), Dell (430), Cisco Systems (376), Canonical (363) et Software in the Public Interest (293). Premier produit le plus touché par des vulnérabilités : Windows 10 (478), suivi par openSuSE Leap (464) et Windows Server 2019 (436). « Il est également intéressant de voir les appareils Google Pixel / Nexus sur la liste, avec 314 vulnérabilités. Le gros avantage est que votre mobile l'appareil peut avoir plus de vulnérabilités que votre système de bureau. Les tendances générales et la logique suggèrent qu'en tant qu'appareils mobiles devenant plus riches en fonctionnalités, leur surface d'attaque augmente. À l'avenir, nous nous attendons à voir les systèmes d'exploitation mobiles à fort déploiement augmenter lentement le nombre de vulnérabilités », prévient l'étude.