La multiplication des failles de sécurité n'est pas une illusion : de 2 pour toute l'année 1988, le marché informatique mondial est passé à 6 612 en 2006 pour redescendre un peu les années suivantes. 2012 en a connu 5 281. A l'inverse, les failles sont aujourd'hui moins graves que par le passé : de 100% de critiques en 1988, le taux est passé autour de 33% les dernières années.

L'éditeur Sourcefire a compilé les données disponibles sur les failles des vingt-cinq dernières années pour publier ces statistiques qui, dans les détails, révèlent quelques surprises. Linux et Microsoft sont ainsi réconciliés par ce classement qui couronne aussi largement Oracle et, plus curieusement, Apple. Bien entendu, il ne s'agit que des failles déclarées. Il faut donc davantage voir dans la multiplication des failles une croissance du nombre et de la complexité des systèmes d'information. Cette croissance est associée à un intérêt toujours plus grand pour l'exploitation des dites failles par les pirates, entraînant une démarche plus active des éditeurs ou des communautés concernés. De la même façon, là où seules les failles critiques étaient recherchées il y a quelques années, même les failles mineures sont aujourd'hui traquées.

Etude de Sourcefire sur les failles de sécurité
Crédit : Sourcefire - Agrandir l'image

Si on ne s'intéresse qu'aux failles les plus sévères, on trouve des résultats contrastés. Concernant les failles graves (niveau supérieur à 7 dans le recensement), le maximum est atteint en 2007 avec 3 159 failles graves repérées. Ensuite, la décroissance est continue. 2012 en a connu 1 760. Mais si on restreint encore plus, en ne s'intéressant qu'aux failles les plus graves, avec une note de 10, la tendance est inverse : 484 failles de ce niveau ont été repérées en 2012, ce qui constitue un record historique, juste derrière le record précédent de 475 en 2007 alors que les années intermédiaires marquaient un repli dont le point bas a été atteint en 2010 avec 258 failles de niveau 10 repérées.

La star incontestée : le buffer overflow

La nature des failles, par contre, est moins surprenante. La star de la faille reste ainsi le fameux buffer overflow depuis 25 ans avec 14% des failles détectées. Si l'on restreint aux failles les plus graves, le buffer overflow confirme sa suprématie : 23% des failles notées au moins 7 et 35% des failles de niveau 10. Il serait peut-être temps que constructeurs et éditeurs se décident un jour à mieux gérer les mémoires des machines...
L'émergence du web sur les vingt-cinq dernières années a créé un deuxième monstre sacré : la faille XSS ou cross site scripting qui représente 13% des failles. Les vedettes suivantes sont également peu surprenantes : contrôles d'accès (11%), injection SQL (10%), validation de données entrantes (10%), injection de code (7%). L'injection SQL représente 20% et l'injection de code 10% des failles de niveaux 7 et plus. Cependant, l'année 2012 a fait émerger une vedette inattendue : 776 failles ont été repérées dans le contrôle d'accès contre 727 concernant le buffer overflow. Le contrôle d'accès avait pourtant disparu du trio de tête depuis 2004.

Microsoft, Apple et Oracle en tête des éditeurs concernés

Sourcefire a également classé les failles par éditeur ou communauté concernés. Sans surprise, sur les 25 dernières années, les champions sont Microsoft (avec 2 934), Apple (1 927) et Oracle (1 531). IBM est juste derrière avec 1 457 failles suivi par Sun avec 1 384. Le cumul d'Oracle avec son acquisition Sun surpasse donc Apple et se rapproche de Microsoft avec 2 915 failles. Cisco (1 147), Mozilla (1 095), Linux (944), HP (925) et Adobe (818) ne peuvent pas rivaliser.

Cependant, il convient de relativiser sérieusement ces chiffres. Tout d'abord, il faut rappeler que les failles étudiées sont celles qui ont été détectées. Plus un produit est étudié, plus le nombre de failles détectées sur le nombre total de faille existant sera important. De même, plus une gamme de produits est étendue, plus, mécaniquement, le nombre de failles sera important. Microsoft, doté d'une gamme particulièrement large et souvent au coeur de l'actualité, est donc une vedette naturelle.