Sur Linux, les problèmes de sécurité sont résolus plus rapidement
Vous vous posez peut-être la question : Linux est-il moins sûr que les systèmes propriétaires ? Ou alors, cette vous paraît absurde. Vous avez raison.
Et des données le prouvent. L’équipe de recherche en sécurité de Google, Project Zero, a récemment démontré que les développeurs de Linux sont ceux qui corrigent les failles de sécurité le plus rapidement.
Plus rapidement que n’importe qui d’autre… y compris Google donc.
Les développeurs de logiciels libres plus rapides
L’équipe Project Zero a analysé les corrections des vulnérabilités signalées entre janvier 2019 et décembre 2021. Et elle a constaté que les programmeurs de logiciels libres corrigeaient les problèmes sur Linux en 25 jours seulement, en moyenne. En outre, leur délai de correction des failles de sécurité s’est amélioré, puisqu’il est passé de 32 jours en 2019 à seulement 15 en 2021.
Ses concurrents ne sont pas aussi bons élèves. A titre d’exemple, Apple compte un délai de 69 jours, Google de 44 jours et Mozilla de 46 jours. En queue de peloton, on trouve Microsoft, avec une moyenne de 83 jours, et Oracle, qui n’a pourtant connu qu’une poignée de problèmes de sécurité, avec 109 jours. Selon l’équipe, les autres – principalement des organisations et des entreprises de logiciels libres comme Apache, Canonical, Github et Kubernetes – ont obtenu un délai respectable de 44 jours.
D’une manière générale, tout le monde est de plus en plus rapide pour corriger les failles de sécurité. En 2021, les fournisseurs ont mis en moyenne 52 jours pour corriger les failles de sécurité signalées. Il y a seulement trois ans, la moyenne était de 80 jours.
Des délais de correction globalement réduits
L’équipe de sécurité de Google note que Microsoft, Apple et Linux ont particulièrement réduit leur délai de correction des vulnérabilités au cours des deux dernières années.
En ce qui concerne les systèmes d’exploitation mobiles, Apple met en moyenne 70 jours à corriger les bugs sur iOS. C’est-à-dire à peine mieux que Google, qui a une moyenne de 72 jours sur Android. En revanche, iOS présente beaucoup plus de bugs qu’Android – respectivement 72 contre 10.
Sur les navigateurs également, les délais de correction des bugs se réduisent. Chrome a résolu ses 40 problèmes dans un délai moyen d’un peu moins de 30 jours. Mozilla Firefox, avec seulement 8 failles de sécurité, a un délai de correction moyen de 37,8 jours. Quant à Webkit, le moteur du navigateur web d’Apple, principalement utilisé par Safari, le bilan est beaucoup moins bon : plus de 72 jours, en moyenne, pour corriger les bugs.
Plus de transparence pour plus de sécurité
L’équipe Project Zero donne aux développeurs 90 jours pour corriger leurs problèmes de sécurité. Outre le fait que la moyenne est désormais bien inférieure à ce délai, l’équipe a également constaté une baisse du nombre de fournisseurs qui ne respectent pas les 90 jours ou le délai de grâce supplémentaire de 14 jours.
L’an dernier, une seule vulnérabilité a dépassé ce délai. Il s’agissait d’un problème de sécurité sur Android. Néanmoins, 14 % des bugs signalés ont nécessité les deux semaines supplémentaires. Quoi qu’il en soit, tout le monde fait un bien meilleur travail de correction des failles de sécurité que les années précédentes.
Pourquoi ? L’équipe Project Zero estime que c’est parce que « les politiques de divulgation responsable sont devenues la norme de facto dans le secteur, et les fournisseurs sont mieux équipés pour réagir rapidement aux rapports dont les délais varient ». Du côté des entreprises, grâce à plus de transparence, elles ont appris les unes des autres en observant ce qui se faisait. J’en attribue une grande partie à la croissance des méthodes de développement à code source ouvert. Il devient de plus en plus évident qu’il est dans l’intérêt de tous d’agir ensemble pour corriger les bugs.
Source : ZDNet.com
