Selon le US-CERT, en 2005, Windows s’est révélé trois fois moins vulnérable que Linux/Unix


Selon “The United States Computer Emergency Readiness Team (US-CERT)“, une étude indique clairement qu’en 2005, Windows s’est révélé 3 fois moins vulnérable que Linux/Unix si l’on comptabilise le nombre d’alertes qui ont été émises pendant l’année écoulée. De quoi couper court aux idées reçues…


Plus d’informations ici : http://www.us-cert.gov/cas/bulletins/SB2005.html



There were 5198 reported vulnerabilities:



  •     812 Windows operating system vulnerabilities
  • 2 328 Unix/Linux operating vulnerabilities
  • 2 058 Multiple operating system vulnerabilities


Maintenant, tout ceci ne doit pas nous faire oublier que nous avons, nous aussi, notre part de travail dans ce domaine pour réduire encore plus les failles. Est-ce d’ailleurs vraiment possible d’arriver à zéro faille quand on sait que ce sont des Hommes qui écrivent le code informatique ? Vaste débat… 😉


Mais ce que l’on peut retenir finalement, c’est que les problèmes de sécurité sont bien des problèmes de l’industrie informatique dans son ensemble et non de tel ou tel éditeur.


[Initialement posté le 06/01/2006 à 17:47 ici]


Comments (10)

  1. Pascal Fresnay says:

    Je suppose que vous avez lu l’article de VUNet qui a "compté" les lignes Windows et autre… C’est du joli n’importe quoi, la plupart des bulletin sont de simples mises à jour d’information d’un précédent bulletin.

  2. Flynn says:

    Hum, je dois dire que j’adore les rapports de ce genre.

    J’aimerais juste précisé que sous la notation Linux/Unix sont regroupés toutes les distributions GNU/Linux, mais aussi IBM AIX,Apple Mac OS X, FreeBSD, Sun Solaris, HP-UX …

    Si on part de l’hypothése que les 2328 failles sont réparties d’une manière à peu prés homogénes, on arrive donc( après une rapide division par 6 ) à 388 failles pour chacun des OS regroupés ( on se demande pourquoi) sous l’appelation Linux/Unix.

    Soit, si je reprends votre titre :

    Selon le US-CERT, en 2005, Windows s’est révélé trois fois plus vulnérable que chacun des OS regroupés dans la catégorie Linux/Unix.

    Pour vous citer à nouveau, je dirais que : "ce que l’on peut retenir finalement, c’est que les problèmes de sécurité sont bien des problèmes de l’industrie informatique dans son ensemble et non de tel ou tel éditeur."

    et je rajouterais que toutefois certains éditeurs du fait de la qualité somme toute très relative de leur produit sont plus concernés que d’autres.

  3. Vengeur says:

    Oui… Ok pour diviser les failles de linux par 6, si tu veux !

    Mais c’est valable aussi pour Windows ! Sous l’appélation générique Windows, on retrouve Win98 (un exemple de fiabilité, n’est-ce pas 😉 ?), Windows NT, et Windows XP… donc à diviser par 3, non ? on se retrouve donc… avec 270 vulnérabilités en moyene, ce qui est toujours moins que tes 388 !

    Le plus important là dessus, c’est pas la bataille des chiffres, même si je suis content que crosoft fasse des efforts et que ses systèmes sont de moins en moins vulnérables !

    L’important, c’est que une faille sous windows implique 80 à 90 % des ordis de la planète, contrairement à une faille sous linux… qui sera de plus beaucoup moins exploitée !

    Quant à la qualité des produits… certaines distrubs linux sont de vraies m… d’autres des merveilles. Windows est régulier, c’est un produit utilisable par le plus grand nombre, relativement stable et fiable. son succès n’est sans doute pas entièrement mérité, mais il l’est surement pour un bonne part !

  4. K63.14 says:

    Le classement est très contasté par le simple fait de comptabiliser les logiciels s’exécutants sur les OS plutôt que les failles systèmes purement liées aux OS et les programmes livrées par l’éditeur (ex WMF par MS ou Quicktime pour Apple).

    En plus aucune échelle de gravité n’est prise en compte.

    Vous devriez être plus prudent en reprenant une telle affirmation.

  5. LINUXDOWN says:

    Certes, la comparaison y va un peu fort, mais si on se limite à deux concurrents directs, les statistiques ne sont pas moins défavorables :

    RedHat Enterprise Linux ES 2.1 : 106 failles en 2005

    http://secunia.com/product/1306/

    Windows Server 2003 : 37 failles en 2005

    http://secunia.com/product/1173/

    L’année 2006 ne commence pas mieux : 3 à 1 !

  6. kezakou says:

    si l’objectif de Pascal Belaud était de lancer la discussion linux/windows —> c’est gagné, mais on tournera en rond longtemps.

    Moi, ce qui m’interresse c’est de plutot de savoir comment on pourrait classer les plates-formes d’OS en fonction de critères de sureté.

    Par exemple, actuellement nous devons mettre en place une plate-forme de supervision permettant de connaitre l’état complet des installations d’un très gros bâtiment technique (électrique, clim, pompes,etc). Ce qui me plairait bien, c’est de trouver des abaques qui me permettent de savoir en fonction des risques que je considère comme peu probables et d’autres au contraire très probables, les éléments que je dois ou non avoir dans mon système.

    vaste question, n’est-ce pas?

  7. sukré says:

    La honte pour un professionnel d’être autant de mauvaise foi. C’est beau le FUD au clair de lune …

  8. Je serais ravi de continuer la discussion avec toi sur ce sujet mais encore faut-il pour cela avoir le courage de donner ton adresse de messagerie et ne pas poster en anonyme…

  9. Geeware says:

    Un peu en retard, certes, mais je voulais juste repondre a Vengeur…

    Certes sous l’appellation "Windows" on rassemble tout les Windows, mais Sous l’appellation Linux on peut donc rassembler tout les Linux (et ils sont nombreux), puis sous l’appellation UNIX on peut rassembler tout les UNIX (qui sont eux aussi nombreux), sans oublier toutes les versions decoulantes de chaque Linux et de chaque UNIX… comme Flynn l’a souligne, en gros il y a bien plus de versions d’UNIX et Linux que de versions de Windows…

    Pour te citer : "L’important, c’est que une faille sous windows implique 80 à 90 % des ordis de la planète, contrairement à une faille sous linux…", deja on fait beaucoup trop l’amalgame entre Linux et UNIX, ce qui n’est pas pareil… Ensuite, c’est juste, mais il faut rappeler que la plupart des serveurs sont sous Linux ou UNIX, et ce sont les serveurs les plus vises, non les postes…

    Donc en gros, pour moi, info a double sens, les chiffres, on peut leur faire dire ce que l’on veut… le plus bel exemple, un sondage effectue par une chaine de television, sur le doit de greve, mais fait dans une gare SNCF, un jour de greve, forcement, ca force un peu la main.