Google : 52 jours pour corriger les failles de sécurité signalées
Le projet zéro de Google vient de publier un rapport sur ses travaux en 2021. Selon ce rapport, les fournisseurs de logiciel ont mis en moyenne 52 jours pour corriger les failles de sécurité signalées.
Entre 2019 et 2021, les chercheurs du Projet Zéro ont signalé 376 problèmes aux fournisseurs sous le délai de 90 jours.
Sur ces 376 problèmes, plus de 93 % de ces bugs ont été corrigés et plus de 3 % ont été notés comme “WontFix” par les fournisseurs, selon Project Zero. Les chercheurs ajoutent que 11 autres bugs n’ont pas été corrigés et que 8 ont dépassé leur date limite de correction. Microsoft, Apple et Google représentent 65 % des failles découvertss. Microsoft est en tête avec 96 bugs, suivi par 85 d’Apple et 60 de Google.
“La quasi-totalité des grands fournisseurs arrivent en dessous de 90 jours, en moyenne”
“Dans l’ensemble, les données montrent que la quasi-totalité des grands fournisseurs arrivent en dessous de 90 jours, en moyenne. La majorité des corrections pendant cette période proviennent d’Apple et de Microsoft (22 sur 34 au total). Les fournisseurs ont dépassé le délai et la période de grâce environ 5 % du temps sur cette période”, ont déclaré les chercheurs de Project Zero. “Dans cette tranche, Oracle a dépassé le taux le plus élevé, mais il est vrai que l’échantillon est relativement petit, avec seulement 7 bugs environ. Suit Microsoft, qui a dépassé 4 de ses 80 échéances. Le nombre moyen de jours pour corriger les bugs, tous fournisseurs confondus, est de 61 jours.”
Google a également fourni d’autres statistiques montrant que le temps global de correction a constamment diminué ces derniers mois, en particulier pour les fournisseurs comme Microsoft, Apple et Linux. Tous trois ont réduit leur temps de résolution entre 2019 et 2020, tandis que Google a accéléré en 2020 et ralenti à nouveau en 2021.
En 2021, ils ont constaté que seul un délai de 90 jours a été dépassé, ce qui représente une forte diminution par rapport à la moyenne de 9 par an au cours des deux autres années. Les chercheurs ont ajouté que le délai de grâce a été utilisé 9 fois – dont la moitié par Microsoft – contre une moyenne légèrement inférieure de 12,5 les autres années.
En ce qui concerne les vulnérabilités sur les systèmes mobiles, les appareils iOS ont totalisé 76 bugs, suivis de 10 pour les appareils Android Samsung et de 6 pour les Android Pixel.
En ce qui concerne les navigateurs, Chrome compte 40 bugs et le délai moyen de correction est de 5,3 jours. WebKit comptait 27 bugs et un temps moyen de correction de 11,6 jours, tandis que Firefox comptait 8 bugs et un temps moyen de correction de 16,6 jours. “Chrome est actuellement le plus rapide des trois navigateurs, avec un délai de 30 jours entre le signalement d’un bug et la publication d’un correctif dans le canal stable. Firefox arrive en deuxième position dans cette analyse, bien que le nombre de points de données à analyser soit relativement faible. Firefox publie un correctif en moyenne en 38 jours”, ont déclaré les chercheurs.
“WebKit est l’exception dans cette analyse, avec le plus grand nombre de jours pour publier un correctif, soit 73 jours. Leur temps pour publier publiquement le correctif se situe au milieu entre Chrome et Firefox, mais malheureusement, cela laisse un très long laps de temps aux attaquants pour trouver le correctif et l’exploiter avant que le correctif ne soit mis à la disposition des utilisateurs.”
Le Projet Zero a déclaré que les résultats sont sur une évolution positive, montrant que de nombreux fournisseurs corrigent la plupart des bugs qu’ils trouvent. Les fournisseurs agissent également plus rapidement pour corriger les problèmes, Google l’attribuant aux politiques de divulgation responsable qui sont devenues la norme dans le secteur.
Google a exhorté tous les fournisseurs à se concentrer sur une “cadence de correction plus fréquente pour les problèmes de sécurité”.
“Nous encourageons tous les fournisseurs à publier des données globales sur le temps nécessaire à la correction et à l’application de correctifs pour les vulnérabilités signalées en externe. Grâce à une plus grande transparence, à un meilleur partage des informations et à une collaboration accrue au sein de l’industrie, nous sommes convaincus que nous pouvons apprendre des meilleures pratiques de chacun, mieux comprendre les difficultés existantes et, espérons-le, faire de l’internet un endroit plus sûr pour tous”, a déclaré le Projet Zéro.
Source : “ZDNet.com”
