Google dit qu'Apple est plus rapide que Microsoft - pour combler les failles de sécurité
En 2021, il fallait en moyenne 52 jours pour corriger une faille de sécurité signalée par le Project Zero de Google. Trois ans plus tôt, la moyenne était encore de 80 jours.
Depuis 2014, le Project Zero de Google recherche des failles de sécurité dans les logiciels et les signale aux fabricants concernés. Il y a eu 376 failles au cours des trois dernières années - dont la majorité concernait Apple, Microsoft et Google.
Linux est le plus rapide
Le temps moyen pour combler une faille de sécurité signalée par Project Zero est passé de 80 jours à 67, 54 et maintenant 52 jours en 2021. Il existe toutefois encore de grandes différences entre les fabricants. Ainsi, Apple a besoin en moyenne de 64 jours, Microsoft est encore plus lent avec 76 jours. Google atteint presque la moyenne avec 53 jours, mais est éclipsé par Linux avec 15 jours. Les fabricants regroupés sous "Autres" ont eu besoin en moyenne de 29 jours. Dans l'ensemble, le nombre de failles de sécurité trouvées a diminué chaque année. De 199 en 2019, il est passé à 87 en 2020 et à 63 dernièrement en 2021.
| Gefundene Lücken 2019
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2020
(Durchschnitt der Tage bis zum Schließen) | Gefundene Lücken 2021
(Durchschnitt der Tage bis zum Schließen) | |
|---|---|---|---|
| Apple | 61 (71) | 13 (63) | 11 (64) |
| Microsoft | 46 (85) | 18 (87) | 16 (76) |
| 26 (49) | 13 (22) | 17 (53) | |
| Linux | 12 (32) | 8 (22) | 5 (15) |
| Andere | 54 (63) | 35 (54) | 14 (29) |
Les chiffres ne disent rien d'autre que le temps qu'il a fallu pour que la mise à jour soit publiée. La faille de sécurité aurait pu être comblée au bout d'un jour, mais les fabricants ne s'écartent de leurs cycles de mise à jour habituels qu'exceptionnellement, en cas de faille de sécurité particulièrement grave. Le fait que Google, par exemple, réduise ce délai de six à quatre semaines pour son navigateur Chrome est donc positif.
Chez la plupart des fabricants, Project Zero ne peut voir et saisir que les périodes entre l'annonce de la faille de sécurité et la publication de la nouvelle version avec le correctif. Pour les logiciels open source, il est possible d'avoir une vision plus précise. Par exemple pour les trois navigateurs Chrome, Safari et Firefox. Pour eux, il a fallu entre 5,3 et 16,6 jours pour qu'un correctif soit disponible pour une faille de sécurité. Mais en moyenne, 37,3 jours se sont écoulés jusqu'à ce que la version suivante du navigateur soit publiée avec ce correctif. Si tu n'installes pas toi-même le correctif, tu attends en moyenne 46,1 jours avant que la faille de sécurité soit comblée sur ton ordinateur.
| Von der Meldung bis zum Patch
(Tage / Durchschnitt) | Vom Patch bis zur Veröffentlichung
(Tage / Durchschnitt) | Von der Meldung bis zur Veröffentlichung
(Tage / Durchschnitt) | |
|---|---|---|---|
| Chrome | 5.3 | 24.6 | 29.9 |
| WebKit (Safari) | 11.6 | 61.1 | 72.7 |
| Firefox | 16.6 | 21.1 | 37.8 |
90 jours de délai
Project Zero donne aux développeurs 90 jours après le signalement d'une faille de sécurité pour la combler. Un report de 14 jours est possible sur demande. Mais au plus tard après 104 jours, Project Zero rend une faille de sécurité publique - qu'elle ait été corrigée ou non. Cela augmente la pression sur les fabricants pour qu'ils comblent une faille.
Quand j'étais petit, je m'asseyais dans le salon de mon ami avec tous mes camarades de classe et je jouais sur sa SuperNES. Depuis, j'ai eu l'occasion de tester toutes les nouvelles technologies pour vous. J'ai fait des tests chez Curved, Computer Bild et Netzwelt, et suis maintenant chez Galaxus.de.