Zero day, les vulnérabilités des navigateurs Web atteignent un pic en 2014

Le nombre de vulnérabilités zero-day et de navigateur Web a augmenté en 2014, mais les éditeurs de logiciels dans leur ensemble corrigent plus rapidement.

Les données proviennent de Secunia, un fournisseur de sécurité danois qui publie une étude annuelle des tendances des vulnérabilités logicielles, qui sont utilisées par les pirates pour compromettre les ordinateurs.

Les vulnérabilités zero-day, qui sont des failles logicielles activement utilisées par les attaquants lors de leur divulgation, sont passées de 14 en 2013 à 25 l'année dernière. Ces types de failles sont parmi les plus dangereux et les plus prisés par les attaquants car les correctifs ne sont pas disponibles auprès des fournisseurs.

Selon le rapport de Secunia, les failles dans les logiciels de navigateur Web ont augmenté pour atteindre 1 035 en 2014, contre 728 l'année précédente..

Mais la bonne nouvelle est que les fournisseurs progressent plus rapidement pour corriger les défauts. Secunia a constaté que plus de 83% des 15 435 vulnérabilités trouvées dans 3 870 applications avaient un correctif disponible lorsqu'une faille était révélée publiquement..

C'est comparé à 78,5% en 2013 et bien mieux qu'en 2009, lorsque seulement 49,9% des produits avaient un patch prêt.

"L'explication la plus probable est que les chercheurs continuent de coordonner leurs rapports de vulnérabilité avec les fournisseurs et leurs programmes de vulnérabilité, ce qui entraîne la disponibilité immédiate de correctifs pour la majorité des cas", selon le rapport.

Mais Secunia a constaté que si un correctif n'était pas prêt le jour où une faille a été révélée, il est probable que les fournisseurs n'allaient pas prioriser un correctif. Le pourcentage de produits qui avaient un patch prêt un mois après la divulgation d'un défaut n'a augmenté que pour atteindre 84,3%.

Secunia a également examiné les logiciels PDF, qui sont fréquemment ciblés par les pirates, car presque tous les ordinateurs l'ont installé.

Les applications PDF d'Adobe Systems sont parmi les plus attaquées sur Internet en raison de leur prévalence. Secunia a déclaré que le programme Reader d'Adobe, qui a une part de marché de 85%, comportait 43 vulnérabilités l'année dernière..

Ces dernières années, Adobe a lancé un programme agressif pour analyser son code d'application afin de détecter les problèmes de sécurité et générer rapidement des correctifs en cas de problèmes..

Secunia a constaté que 32% des ordinateurs interrogés avec les données de son Personal Software Inspector, qui vérifie le numéro de version des programmes, ne disposaient pas d'une version à jour d'Adobe's Reader, mettant les utilisateurs en danger.

La société a également examiné les vulnérabilités des logiciels open source, un problème de sécurité croissant après la découverte de plusieurs vulnérabilités graves dans le logiciel de chiffrement OpenSSL..

La première vulnérabilité grave d'OpenSSL, surnommée Heartbleed, en a surpris beaucoup en raison de son impact potentiel et de la grande variété de programmes qui l'utilisent. Secunia pensait que les fournisseurs pourraient être plus rapides à corriger OpenSSL après la découverte de problèmes ultérieurs l'année dernière.

Mais ce n'était pas le cas. De nombreux fournisseurs n'ont pas corrigé plus rapidement les autres failles d'OpenSSL après Heartbleed, selon le rapport..

«Les entreprises ne devraient pas présumer être en mesure de prédire quels fournisseurs sont fiables et réagissent rapidement lorsque des vulnérabilités sont découvertes dans des produits fournis avec des bibliothèques open source», a déclaré Secunia..

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.