
S21sec, une société espagnole spécialisée en sécurité informatique, a publié une étude sur les failles de sécurité de ces 10 dernières années. Cette société, très respectée par ses confrères, fait des audits et des rapports de sécurité pour des organisations tel que l'agence Européenne chargée de la sécurité de l'information (ENISA).

Depuis 2001, S21sec a recueilli sur une base de données toutes les failles de sécurité des sociétés les plus imposantes produisant des logiciels incluant Adobe, Apple, Google, Microsoft et Oracle. La base de données appelée Vulnera est alimentée par 36 sources différentes et parmi eux les célèbres contributeurs tels que CVE, Bugtraq et Secunia. Elle répertorie actuellement plus de 22.000 produits et plus de 74.000 failles de sécurité.
Selon les statistiques de S21sec, le nombre de failles de sécurité trouvées l'année dernière a diminué significativement par rapport aux années précédentes et en dépit du fait que Apple, en particulier, a reporté plus de failles dans ses produits cette année là. On remarque aussi d'après le graphique ci-dessus, que l'année 2006 a été la plus riche en failles avec plus de 10.000.
Près de 7.000 failles importantes ont été signalées en 2011 seulement, avec le plus haut taux rapporté en Mars. Étonnamment, Chrome a été responsable de plus grand nombre de failles de sécurité. Dans la catégorie des navigateurs, plus de la moitié des failles de sécurité ont été trouvées sur le navigateur de Google (54%), suivi de Firefox (18%) et Opera (10%). Safari et Internet Explorer sont tous les deux en-dessous de la barre des 10%. Je rappelle que ces statistiques ne prennent pas en compte la durée d'exposition de la faille.
Dans la catégorie des systèmes d'exploitation côté client, le plus grand nombre de failles a été signalé sur Windows 7, XP et Vista (pas vraiment une surprise). Derrière il y a Mac OS X avec 60 failles de sécurité. Les distributions Ubuntu, Fedora et Suse ont rapporté moins de 10 failles.
Côté serveur, c'est à peu prés le même tableau avec pour Windows Server 2003 plus de 100 vulnérabilités rapportées, suivi par Mac OS X Server avec plus de 60 et FreeBSD, OpenBSD, HP-UX, IBM AIX et Solaris ayant tous moins de 10 failles signalées.

Pour le domaine des smartphones, il y a une surprise avec iOS qui cumule 35 failles en 2011 contre Android avec 10 mais malheureusement il n'y a pas plus de détails. Les produits d'Adobe partagent leur première place dans le domaine des applications et plugins suivi par les base de données Oracle 10g et 11g et Apple QuickTime.
Selon S21sec, la tendance générale est vers une hausse des exploits à distance et l'utilisation de trojans hautement sophisitqués comme le Frankenmalware. Pour 2012, la firme de sécurité prévoit un nombre croissant des menaces dans le domaines des appareils mobiles, notamment les exploits de type drive-by qui sont assez dangereux. C'est vrai que 468 millions de smartphones sont une cible attrayante, n'est-ce pas ? 