Les vulnérabilités au niveau des OS Microsoft® Windows semblent se stabiliser après une année de baisse tandis que les vulnérabilités au sein des applications non Windows continuent d’augmenter.
Le pourcentage d’installations non patchées de systèmes Microsoft Windows sur des PC de particuliers semble se stabiliser après un an de baisse constante. En revanche, le nombre d’applications publiées par d’autres éditeurs et non patchées présentes sur ces mêmes environnements continue d’augmenter.
Telles sont les conclusions des récents rapports rédigés pour le 3e trimestre 2016 dans 12 pays par l’équipe Secunia Research de Flexera Software, le leader des solutions de gestion des vulnérabilités logicielles. Ces rapports fournissent un état des lieux des logiciels vulnérables installés sur les ordinateurs privés, et établissent également un classement de ces applications vulnérables en fonction du degré d’exposition au piratage de ces ordinateurs.
Au 3e trimestre 2016, 4,2 % des individus utilisaient des versions non patchées d’OS Windows, soit un pourcentage en baisse par rapport aux 4,6 % du 2e trimestre 2016 et aux 7,2 % enregistrés au 3e trimestre 2015.
15,2 % des individus utilisaient des programmes non patchés non édités par Microsoft, soit un pourcentage en hausse par rapport aux 14,8 % enregistrés au 2e trimestre 2016 et aux 12,9 % enregistrés au 3e trimestre 2015.
Les trois programmes les plus vulnérables enregistrés au 3e trimestre sont VLC Media Player 2.x (58 % des installations non patchées ; part de marché de 67 % ; 7 vulnérabilités), Oracle Java JRE 1.8.x/8.x (50 % d’installations non patchées ; part de marché de 45 % ; 57 vulnérabilités), et Apple iTunes 12.x (54 % d’installations non patchées ; part de marché de 27 % ; 50 vulnérabilités). Le nombre d’OS Windows non patchés se stabilise
Bien que le nombre d’installations de systèmes d’exploitation Windows non patchées sur les PC de particuliers connaisse des dynamiques différentes d’un trimestre à l’autre, il semble se stabiliser à des niveaux plus faibles par rapport à l’année dernière à la même époque. Il faudra du temps pour savoir si
Cette tendance va se poursuivre, mais l’annonce récente par Microsoft du passage à des mises à jour cumulatives et groupées pour Windows 7 SP1, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2012 R2 aura vraisemblablement un rôle bénéfique. L’éditeur a en effet mis en place un modèle de mise à jour identique pour l’ensemble des versions de Windows prises en charge pour plus de cohérence et de simplicité.
« Nous allons suivre ce phénomène avec attention afin de déterminer si la baisse du nombre d’OS Windows non patchés est anecdotique, ou si elle est annonciatrice d’une tendance à long terme », déclare Kasper Lindgaard, directeur de Secunia Research chez Flexera Software. « Dans le deuxième cas, la réduction de la surface d’exposition de ces systèmes devrait profiter aux consommateurs. »
En dépit de ces bonnes nouvelles, tout n’est pas rose pour les particuliers utilisateurs de PC. En effet, le nombre de programmes non issus de Microsoft et non patchés reste en augmentation. Ce phénomène serait lié au processus d’application de correctifs de sécurité proposé aux utilisateurs. La firme de Redmond est en train de standardiser le sien et adopte une approche automatisée sur l’ensemble de son portefeuille d’applications. En revanche, chaque éditeur tiers peut avoir mis en place un processus propre, exigeant parfois des utilisateurs des connaissances et une discipline supérieures. Et selon le rapport Vulnerability Review de 2016, ces programmes non publiés par Microsoft représentent 60 % des applications installées sur un ordinateur.
« La plupart des utilisateurs ne consacrent ni le temps, ni l’attention nécessaires pour appliquer les derniers correctifs de sécurités disponibles pour l’ensemble des applications présentes sur leurs PC. Cela nécessite encore plus d’efforts de leur part lorsque celles-ci ne proviennent pas de Microsoft », ajoute Kasper Lindgaard. « C’est la raison pour laquelle les systèmes de gestion automatisée des patches tels que Corporate Software Inspector (pour les entreprises) et Personal Software Inspector (pour les consommateurs) sont si importants. »
Les 12 Rapports nationaux de Secunia Research s’appuient des données issues d’analyses réalisées avec l’outil Personal Software Inspector entre le 1er juillet 2016 et le 30 septembre 2016.