Marrakech, 21 févr. (Maroc-Actu) –
Linux est le système d’exploitation qui offre le temps de réponse le plus rapide. lorsque des bogues de sécurité sont détectés dans le système d’exploitation, par rapport à des concurrents comme Apple ou Microsoft.
C’est l’une des conclusions auxquelles est parvenue Project Zero, l’équipe de recherche en cybersécurité de Google, dans son dernier rapport, dans lequel elle a analysé les corrections de bugs et les vulnérabilités signalées aux fabricants.
Selon les données de Google, entre Janvier 2019 et décembre 2021, Le Projet Zéro a signalé la présence d’un total de 376 problèmes. détecté sur les plateformes de différentes entreprises, telles que Apple, Microsoft, Adobe, Google, Oracle ou Linux.
La procédure mise en œuvre est la suivante : lorsqu’un fournisseur reçoit un rapport de bogue dans un délai standard, a 90 jours pour le corriger et le mettre à jour avec un patch de sécurité.
Ce fournisseur peut également demander une période de temps supplémentaire, également appelé délai de grâce, de 14 jours, si vous confirmez que vous prévoyez de publier la correction à l’issue de cette prolongation.
Sur la base de ces circonstances, Google a analysé la fréquence à laquelle les fournisseurs sont en mesure de respecter ces délais de trouver la solution et de la diffuser avec un correctif de sécurité sur différentes plateformes.
Comme le note Google dans ce rapport, en général, les résultats obtenus dans le cadre de cette étude montrent que presque tous les grands vendeurs parviennent à atteindre leurs objectifs avant le 90 jours.
Dans ce cas, la plupart des corrections apportées pendant les 14 jours supplémentaires au cours des mois analysés ont été réalisées par Apple et Microsoft. D’un autre côté, la plate-forme Oracle a surmonté la Délai de 104 jours au total.
À cet égard, le rapport révèle que, sur l’ensemble des 376 problèmes initial enregistré, 351 erreurs (93,4 % du total) ont été corrigés, tandis que 14 (3,7 %) ont été marqués comme « irréparables » (WontFix) par ces fournisseurs et que 11 autres (2,9 %) n’avaient toujours pas été corrigés au moment de la rédaction du rapport, le 10 février 2022.
Les résultats de cette recherche montrent que, sur la période analysée, la majorité des vulnérabilités sont regroupées de la façon suivante autour de trois fournisseurs : Apple, avec 85 erreurs ; Microsoft, avec 80 erreurs ; et Google, avec 56.
En outre, les résultats de cette recherche déterminent que les développeurs Linux sont les plus rapides à corriger les failles de sécurité et fournir cette protection aux utilisateurs.
Plus précisément, Linux a mis en moyenne 25 jours pour corriger les bogues détectés.Contrairement à Apple, qui a mis en moyenne 69 jours pour corriger ces bogues, suivi de Microsoft (83), Google (44), Samsung (72), Adobe (65), Mozilla (46) et Oracle (109).
Enfin, Google fournit comme « Autres » les données correspondant à . un compendium des fournisseursqui sont Apache, ASWF, Avast, AWS, c-ares, Canonical, F5, Facebook, git, Github, glibc, gnupg, gnutls, gstreamer, haproxy, Hashicorp, insidesecure, Intel, Kubernetes, libseccomp, libx264, Logmein, Node.js, opencontainers, QT, Qualcomm, RedHat, Reliance, SCTPLabs, Signal, systemd, Tencent, Tor, udisks, usrsctp, Vandyke, VietTel, webrtc et Zoom.
Ce dernier, par exemple, a mis 44 jours en moyenne pour résoudre les bogues, et une grande partie d’entre eux, 87 %, ont été résolus dans les 90 premiers jours.
Bien que les résultats ne soient pas positifs, le Projet Zéro reconnaît que le nombre moyen de jours pour effectuer ces corrections a été réduit en 2021 par rapport aux deux années précédentes.
AMÉLIORER LES TEMPS EN 2021
D’une manière générale, en 2021 il a fallu en moyenne 52 jours pour résoudre les problèmes de sécurité, contre une moyenne de 67 jours en 2019, de sorte que tous les systèmes d’exploitation ont amélioré leurs performances.
Cependant, il y a à nouveau des différences dans le temps de correction des bugs de janvier 2019 à décembre 2021 par volume de rapports de bugs.
À cet égard, Apple et Microsoft continuent d’enregistrer les pires moments Il a fallu respectivement 64 et 76 jours en moyenne pour corriger ces bogues en 2021, alors que Linux l’a fait en 15 jours.
Googlepar exemple, réduit ses délais de récupération d’ici 2020, à 22 jours en moyenne pour corriger ses bugs (contre 32 en 2019). Cependant, en 2021, il a fallu jusqu’à 53 jours pour corriger ces bugs.
D’autre part, ce rapport analyse le temps moyen de réparation des systèmes d’exploitation mobiles. Dans ce cas, les différences entre les éléments suivants ne sont pas pertinentes iOS, Android pour les mobiles Samsung et Android sur les appareils Pixel..
Alors que sur iOS, un total de 76 bogues ont été enregistrés et ont nécessité en moyenne 70 jours de réparation, sur Android pour Samsung, seuls 10 bogues ont été constatés, mais le temps moyen de réparation était de 72 jours.
Android pour Pixel, quant à lui, a mis en moyenne 72 jours pour corriger ces bugs par le biais de correctifs de sécurité, mais. n’a enregistré que six insectes au total.
NAVIGATEURS OPEN SOURCE
Le projet Zero de Google a également étudié le comportement des navigateurs web open source au cours des trois dernières années. En particulier, de Chrome, WebKit et Firefox.
Dans ce cas, les données sont moins concrètes, car ils n’ont pas été en mesure de mesurer le temps qui s’écoule entre la réception par un fournisseur d’un rapport sur un problème de sécurité, le temps qui s’écoule entre ce rapport et le correctif, et le temps qui s’écoule entre le correctif et la publication d’une nouvelle version avec un correctif.
Sur la base des résultats, de Google prévient que Chrome est actuellement le plus rapide des trois navigateurs, avec une moyenne de 30 jours entre le signalement du bogue et la publication d’un correctif. Bien qu’il procède rapidement à la correction, il faut plus de temps pour soumettre le correctif.
D’un autre côté, Firefox se classe deuxième dans l’analysemais avec un nombre d’erreurs inférieur à celui de ses concurrents.
Plus précisément, ce navigateur publie un correctif en 38 jours en moyenne, Google insistant sur le fait que Firefox retarde intentionnellement l’exécution des correctifs de sécurité afin de réduire son exposition avant la publication du correctif.
Une fois que le patch est officiellement publiéLa version finale est publiée en moins de jours que Chrome et la grande majorité des correctifs sont expédiés dans les 10 à 15 jours suivant le correctif public.
Enfin, WebKit est le navigateur qui prend le plus de temps pour corriger les bogues au moyen d’un correctif de sécurité, avec une moyenne de 73 jours. Dans ce cas, le délai de publication du correctif se situe entre les deux autres navigateurs, mais il est réservé pendant une période plus longue avant sa publication.
En raison de l’existence de cette marge, il y a une possibilité que les attaquants le trouvent. et l’exploiter avant qu’elle ne soit publiquement et officiellement disponible pour les utilisateurs.
Enfin, le Projet Zéro indique que, compte tenu des résultats des trois années étudiées et sur la base de l’évolution en 2021, les prévisions pour cette année sont encourageantes.
Aussi, croire que les délais ont été raccourcis parce que les fournisseurs ont appris » meilleures pratiques » et il y a eu « une plus grande transparence dans le secteur », ainsi que d’être mieux équipé pour faire face à de telles violations de la sécurité.
