Dans son dernier rapport annuel sur la sécurité, Microsoft met en avant certains progrès réalisés pour réduire le nombre de vulnérabilités permettant l'exécution de code à distance. Une version corrigée, re-publiée cette semaine, est moins affirmative à ce sujet. Dans la version initiale du rapport on pouvait lire que « le nombre de vulnérabilités susceptibles de permettre l'exécution de code à distance avait considérablement baissé en termes de pourcentage et en chiffres bruts ». A sa lecture, des incohérences entre les chiffres mentionnés dans le texte et un tableau d'accompagnement ont été soulignées par nos confrères de Network World, incitant Microsoft à publier une mise à jour de son document. L'éditeur indique désormais que le nombre de vulnérabilités permettant l'exécution de code à distance a seulement « baissé en pourcentage. »

Selon le troisième rapport annuel du Microsoft Security Response Center (MSRC) qui suit les progrès réalisés dans ce domaine, au cours de l'exercice fiscal 2011, 62,8% des vulnérabilités permettaient l'exécution de code à distance, un chiffre en baisse comparé aux 70,8% de 2010 et aux 74,1% de 2008. Entre juin 2010 et juin 2011, Microsoft a publié 117 bulletins de sécurité couvrant 283 vulnérabilités, soit un total qui dépasse celui des précédentes années couvertes par le rapport. Microsoft publie le deuxième mardi de chaque mois un Tuesday Patch qui corrige une série de vulnérabilités dans de nombreux produits. Au cours de l'exercice 2010, Microsoft a publié 88 bulletins de sécurité couvrant 211 vulnérabilités dans les produits Microsoft. Selon les pourcentages fournis par la société, environ 149 de ces vulnérabilités permettaient l'exécution de code à distance. En 2011, ce nombre a grimpé à environ 178, soit 29 vulnérabilités de plus.

Les nouvelles versions moins vulnérables

Ces chiffres ne sont que des estimations et un responsable de Microsoft a refusé de préciser le nombre exact de vulnérabilités permettant l'exécution de code à distance identifiées chaque année, et de fournir des statistiques sur d'autres types de vulnérabilités. « Traditionnellement, Microsoft ne divulgue pas le nombre réel de vulnérabilités permettant l'exécution de code à distance, et ne précise pas quels types de vulnérabilités a augmenté ou diminué », écrit le responsable dans un e-mail adressé à Network World. Selon le rapport, les statistiques montrent que les nouvelles versions logicielles sont moins vulnérables que les anciennes, ce qui n'est pas une surprise. Environ 38% des vulnérabilités sont « moins graves, voire inexistantes sur la dernière version de l'application affectée que sur les précédentes. » Seulement 3% des vulnérabilités « affectent la version la plus récente, mais pas les versions plus anciennes », indique encore Microsoft.

Malgré cela, les professionnels de l'informatique et les revendeurs sont toujours accablés par le nombre croissant de patchs à déployer. S'ils appliquaient uniquement les correctifs les plus critiques pour les versions client et serveur actuelles de Windows, les utilisateurs auraient pu réduire le nombre de correctifs de 117 à 24 au cours des 12 derniers mois. Cependant, « Microsoft recommande à ses clients d'installer toutes les mises à jour de sécurité applicables », et déconseille de s'abstenir d'appliquer les correctifs les moins sensibles. «  Les techniques de piratage évoluent avec le temps, et, parmi les nouvelles, certaines peuvent permettre à un attaquant de tirer parti de vulnérabilités qui étaient auparavant plus difficiles à exploiter », explique Microsoft.

Illustration : extrait du rapport publié par le Microsoft Security Research Center (MSRC)