Selon l'organisation spécialisée dans la sécurité informatique, les développeurs ne recourent pas à des méthodes de codage sécurisées pour bâtir les applications hébergées, donnant ainsi l'opportunité aux personnes malintentionnées d'accéder aux bases de données liées à ces dernières. Les services en ligne échangent en outre des informations avec les machines des utilisateurs, et offrent ainsi aux pirates une double occasion de profiter d'une vulnérabilité. Dans le cas des banques en ligne ou des sites de e-commerce par exemple, la manoeuvre malicieuse consistera à subtiliser le couple identifiant/mot de passe ou des informations relatives aux cartes bancaires, selon que l'on profite d'une faille située du côté de l'utilisateur ou du serveur. La suite bureautique de Microsoft récolte aussi son lot de griefs, le Sans Institute indiquant que le nombre de failles identifiées a bondi de 300% entre 2006 et 2007, notamment en raison de nouvelles vulnérabilités affectant Excel. En exploitant certaines faiblesses d'Office, des pirates peuvent concevoir un document qui, une fois ouvert, injecte du code malicieux dans la machine de sa victime. Les documents sont envoyés en pièce jointe par courriel, un soupçon d'ingénierie sociale suffit alors à inciter les plus crédules à ouvrir le fichier. La naïveté des utilisateurs constitue un des développements du rapport, au même titre que les vulnérabilités des applications. Le Sans Institute prêche en effet en faveur de l'éducation des internautes et plus généralement des utilisateurs, trop souvent prompts à se laisser piéger par des grosses ficelles. Si le nombre des failles affectant Office est en très forte hausse, le nombre de sites Web susceptible d'infecter une machine avec un spyware s'inscrit également en nette croissance. Selon Webroot, l'une des sociétés ayant contribué au rapport du Sans, les sites Internet présentant un danger sont 187% plus nombreux cette année que l'an dernier. Il ne faudrait ainsi que cinq minutes pour qu'un PC non protégé connecté sur le Web soit la cible d'une attaque. Face à ces risques, les recommandations du Sans sont frappées du sceau du bon sens : les développeurs doivent avoir recours à des outils pour éprouver la sécurité de leur code, les administrateurs de systèmes dont les utilisateurs ont recours aux applications Web sont censés utiliser des pare-feux et appliquer régulièrement les mises à jour.