Google : 52 jours pour corriger les failles de sécurité signalées




Google : 52 jours pour corriger les failles de sécurité signalées

Près de deux mois pour corriger les failles de sécurité signalées. C’est le temps que les fournisseurs prennent selon Google pour patcher leurs systèmes. Microsoft, Apple et Google sont à l’origine de 65 % des bugs découverts.

Google Project Zero vient de publier un rapport sur ses travaux de l’année. Selon ce rapport, les fournisseurs de logiciels ont mis en moyenne 52 jours pour corriger les failles de sécurité signalées.


Entre 2019 et 2021, les chercheurs du Project Zero ont signalé 376 problèmes aux fournisseurs sous le délai de 90 jours.

Sur ces 376 problèmes, plus de 93 % des bugs ont été corrigés, et plus de 3 % ont été notés comme « WontFix » par les fournisseurs, selon Project Zero. Les chercheurs ajoutent que 11 autres bugs n’ont pas été corrigés et que 8 ont dépassé leur date limite de correction. Microsoft, Apple et Google représentent 65 % des failles découvertes. Microsoft est en tête avec 96 bugs, suivi par 85 chez Apple et 60 pour Google.


« La quasi-totalité des grands fournisseurs arrivent en dessous de 90 jours, en moyenne »

« Dans l’ensemble, les données montrent que la quasi-totalité des grands fournisseurs arrivent en dessous de 90 jours, en moyenne. La majorité des corrections pendant cette période proviennent d’Apple et de Microsoft (22 sur 34 au total). Les fournisseurs ont dépassé le délai et la période de grâce environ 5 % du temps sur cette période », détaillent les chercheurs. « Dans cette tranche, Oracle a dépassé le taux le plus élevé, mais il est vrai que l’échantillon est relativement petit, avec seulement sept bugs environ. Suit Microsoft, qui a dépassé quatre de ses 80 échéances. Le nombre moyen de jours pour corriger les bugs, tous fournisseurs confondus, est de 61 jours. »



screen-shot-2022-02-11-at-1-04-28-pm.png



Google a également fourni d’autres statistiques montrant que le temps global de correction a constamment diminué ces derniers mois, en particulier pour les fournisseurs comme Microsoft, Apple et Linux. Tous trois ont réduit leur temps de résolution entre 2019 et 2020, tandis que Google a accéléré en 2020 et ralenti à nouveau en 2021.

En 2021, ils ont constaté que seul un délai de 90 jours a été dépassé, ce qui représente une forte diminution par rapport à la moyenne de neuf par an au cours des deux autres années. Les chercheurs ont ajouté que le délai de grâce a été utilisé neuf fois – dont la moitié par Microsoft – contre une moyenne légèrement supérieure de 12,5 les autres années.

En ce qui concerne les vulnérabilités sur les systèmes mobiles, les appareils iOS ont totalisé 76 bugs, suivis de 10 pour les appareils Android Samsung et de six pour les Android Pixel.


En ce qui concerne les navigateurs, Chrome comptait 40 bugs et le délai moyen de correction est de 5,3 jours. WebKit comptait 27 bugs et un temps moyen de correction de 11,6 jours, tandis que Firefox comptait huit bugs et un temps moyen de correction de 16,6 jours. « Chrome est actuellement le plus rapide des trois navigateurs, avec un délai de 30 jours entre le signalement d’un bug et la publication d’un correctif dans le canal stable. Firefox arrive en deuxième position dans cette analyse, bien que le nombre de points de données à analyser soit relativement faible. Firefox publie un correctif en moyenne en 38 jours », indiquent les chercheurs.


« WebKit est l’exception dans cette analyse, avec le plus grand nombre de jours pour publier un correctif, soit 73 jours. Leur temps pour publier publiquement le correctif se situe au milieu, entre Chrome et Firefox, mais malheureusement, cela laisse un très long laps de temps aux attaquants pour trouver la faille et l’exploiter avant que le correctif ne soit mis à la disposition des utilisateurs. »


Project Zero précise que les résultats sont sur une évolution positive, montrant que de nombreux fournisseurs corrigent la plupart des bugs qu’ils trouvent. Les fournisseurs agissent également plus rapidement pour corriger les problèmes. Google attribue ce changement positif aux politiques de divulgation responsable qui sont devenues la norme dans le secteur.


Google exhorte tous les fournisseurs à se concentrer sur une « cadence de correction plus fréquente pour les problèmes de sécurité ».


« Nous encourageons tous les fournisseurs à publier des données globales sur le temps nécessaire à la correction et à l’application de correctifs pour les vulnérabilités signalées en externe. Grâce à une plus grande transparence, à un meilleur partage des informations et à une collaboration accrue au sein de l’industrie, nous sommes convaincus que nous pouvons apprendre des meilleures pratiques de chacun, mieux comprendre les difficultés existantes et, espérons-le, faire de l’internet un endroit plus sûr pour tous », affirme Project Zero.


Pour plus d’information : https://www.zdnet.fr/actualites/google-52-jours-pour-corriger-les-failles-de-securite-signalees-39937353.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram


Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité