Principales découvertes du rapport pour la France :

• Adobe Flash Player 19 est installé sur les ordinateurs de près de trois quarts des utilisateurs français. Cette version est désormais en fin de vie et ne reçoit donc plus de mises à jour de sécurité de la part d’Adobe. Des vulnérabilités découvertes au sein de nouvelles versions de programmes peuvent être exploitées dans le but de pirater d’anciennes versions. Il est donc important de veiller à supprimer tous les produits en fin de vie présents sur votre ordinateur personnel.

• Aucun correctif déployé pour 13,4 % des programmes provenant d’autres éditeurs que Microsoft au quatrième trimestre. En contrepartie, seuls 4.4% des programmes Microsoft® n’ont pas été patchés. Les utilisateurs possèdent en moyenne 78 applications de 28 éditeurs différents, et 30 de ces 78 applications (soit 39 %) sont développées par Microsoft.

• 6,4 % des particuliers n’ont pas déployé de correctif au système d’exploitation Windows® installé sur leur PC (le rapport couvrait Windows Vista, Windows 7, Windows 8 et Windows 10).

La vulnérabilité zéro-day découverte le 28 décembre dernier au sein d’Adobe Flash a été évaluée comme « extrêmement critique » par Secunia Research, car elle peut être déclenchée à distance et permettre d’exécuter du code arbitraire. Cette faille peut également être exploitée pour pirater d’anciennes versions d’Adobe Flash Player /AIR, y compris la version 19, actuellement en fin de vie, et installée sur trois quarts des PC de particuliers, comme l’indique le rapport établi pour la France.

« Adobe Flash est l’application la plus ciblée par les kits d’exploit en raison de sa popularité auprès des utilisateurs déclare Kasper Lindgaard, directeur de Secunia Research chez Flexera Software. Cette application peut ainsi être utilisée pour accéder à différentes plateformes et pirater aussi bien des particuliers que les salariés des entreprises. Bien que les organisations les plus vigilantes en matière de sécurité sachent qu’elles doivent bannir Adobe Flash Player de leurs systèmes critiques, les particuliers eux, ne se montrent généralement pas aussi attentifs ».

Des déficiences importantes quant au déploiement de patchs pour les programmes non développés par Microsoft

En moyenne, 78 applications issues de 28 différents éditeurs sont présentes sur les PC des particuliers français. À lui seul, Microsoft produit en moyenne 30 de ces applications. Grâce à des mises à jour automatisées et à un processus de distribution de correctifs de sécurité bien établi, l’éditeur simplifie la tâche pour ces utilisateurs : il leur suffit de garder la fonctionnalité de mise à jour automatique activée dans le centre Windows Update (soit le paramètre par défaut). Cette approche de sécurité conviviale explique en partie que seuls 6,4% des particuliers n’aient pas déployé de patch sur les applications Microsoft installées leurs PC.

En revanche, pour les 48 applications restantes et non développées par Microsoft, c’est une tout autre histoire. Elles sont ainsi trois fois plus nombreuses à ne pas avoir bénéficié du déploiement de correctifs de la part de leurs utilisateurs. Cette différence est principalement due au fait qu’elles proviennent de 28 éditeurs différents (en moyenne), chacun ayant son propre système de mise à jour. Les utilisateurs doivent donc se familiariser avec 28 mécanismes différents et installer ces mises à jour à leurs sorties.

Le Top 10 des programmes les plus vulnérables en France, au quatrième trimestre 2015

1/ VLC Media Player 2.x
2/ Apple QuickTime 7.x
3/ Oracle Java JRE 1.8.x
4/ Apple iTunes 12.x
5/ Google Picasa 3.x
6/ Adobe Reader X 10.x
7/ Adobe Shockwave Player 12.x
8/ Adobe Reader XI 11.x
9/ Apache OpenOffice 4.x
10/uTorrent for Windows 3.x

Le Top 10 des programmes end of life
1/ Adobe Flash Player 19.x
2/ Microsoft XML Core Services (MSXML) 4.x
3/ Google Chrome 46.x
4/ Oracle Java JRE 1.7.x / 7.x
5/ Mozilla Firefox 41.x
6/ Mozilla Firefox 42.x
7/ Google Chrome 45.x
8/ Oracle Java JRE 1.6.x / 6.x
9/ Adobe AIR 19.x
10/ WinRAR 3.x

Afin de permettre aux utilisateurs d’applications de rester protégés, Flexera Software propose donc Personal Software Inspector (anciennement Secunia PSI 3.0) : cet outil gratuit d’analyse de la sécurité informatique identifie les applications non sécurisées et ayant besoin d’une mise à jour.

L’outil a été téléchargé sur PC par plus de 8 millions d’utilisateurs afin de détecter les programmes et plug-ins obsolètes.

Les 14 Rapports nationaux de Secunia Research s’appuient des données issues d’analyses réalisées avec l’outil Personal Software Inspector entre le 1er janvier 2015 et le 31 décembre 2015.