Telles sont les conclusions tirées par l’équipe Secunia Research de Flexera Software, leader des solutions de gestion des vulnérabilités logicielles, dans leurs récents rapports réalisés au 2e trimestre 2016 pour 12 pays. Ces rapports fournissent un état des lieux des logiciels vulnérables installés sur les ordinateurs privés dans les 12 pays concernés. Ils établissent un classement de ces applications vulnérables en fonction du degré d’exposition au piratage de ces ordinateurs.
Principales découvertes du rapport pour la France :
– Au 2e trimestre 2016, 4,6 % des utilisateurs utilisaient des versions non corrigées d’OS Windows, soit un pourcentage stable par rapport au 1er trimestre, et en baisse par rapport aux 9,7 % enregistrés au 2e trimestre 2015.
– 14,8 % des utilisateurs utilisaient des programmes non corrigés non édités par Microsoft,un pourcentage en hausse par rapport aux 13,9 % enregistrés au 1er trimestre et aux 12,9 % enregistrés au 2e trimestre 2015.
– Les trois programmes les plus vulnérables enregistrés au 2e trimestre sont VLC Media Player 2.x (68 % des installations non corrigées, 67 % de part de marché, 8 vulnérabilités), Oracle Java JRE 1.8x/8.x (52 % d’installations non corrigées,45 % de part de marché, 67 vulnérabilités), et Google Picasa 3.x (63 % d’installations non corrigées, 23 % de part de marché, 4 vulnérabilités).

De plus en plus de systèmes d’exploitation Windows corrigés

En raison de leur omniprésence sur les PC des particuliers, les systèmes d’exploitation sont des cibles de choix pour les pirates. L’application régulière des correctifs disponibles est par conséquent essentielle à une meilleure gestion des vulnérabilités logicielles Les résultats du rapport montrent que les particuliers français ont bien reçu le message ; au 2e trimestre 2016, seuls 4,6 % d’entre eux utilisaient des versions non corrigées de systèmes Windows, un taux en baisse par rapport aux 9,7 % enregistrés l’an passé. « La diminution du taux de systèmes d’exploitation Windows non corrigés est à la fois remarquable et encourageante », constate Kasper Lindgaard, Directeur de Secunia Research chez Flexera Software. « Il sera intéressant de voir si cette tendance se confirme sur le long terme, en particulier compte tenu du déploiement croissant de Windows 10, dont les mises à jour sont automatiques. »

Les particuliers utilisateurs de PC sont de moins en moins scrupuleux dans l’application de correctifs aux programmes non édités par Microsoft

Bien que les particuliers sur PC soient plus soigneux dans l’application de correctifs à leurs systèmes d’exploitation Windows, on constate le phénomène inverse pour les programmes ne provenant pas de Microsoft. Le taux de programmes tiers non corrigés est en effet en hausse, et les données collectées par l’équipe Secunia Research suggèrent que les utilisateurs ignorent de plus en plus fréquemment les suggestions d’installation de correctifs de sécurité. Ainsi, l’outil Personal Software Inspector alerte les utilisateurs en cas de vulnérabilités découvertes au sein d’un de ces programmes sur leur PC, et les corrige automatiquement. Cependant, l’utilisateur doit malgré tout confirmer l’action et lancer le processus automatisé. « Si l’utilisateur installe un logiciel, puis ignore l’alerte et n’initie pas l’application du correctif, il reste alors en position vulnérable », déclare Mr Lindgaard. « Ce choix malheureux peut avoir de lourdes conséquences. »

Les programmes les plus exposés

Les trois programmes les plus vulnérables enregistrés au 2e trimestre représentent 79 des vulnérabilités enregistrées par l’équipe de Secunia Research sur les quatre derniers trimestres. Sur ces 79 vulnérabilités, 23 ont fait l’objet de correctifs de sécurité jugés « extrêmement critiques », et 52 ont bénéficié de correctifs jugés « très critiques ». Généralement, les vulnérabilités du premier type sont des failles pouvant être exploitées à distance et entraîner la compromission de systèmes. La réussite d’une attaque ne nécessite normalement aucune interaction, et les kits d’exploits peuvent facilement être trouvés sur le Web. Ces vulnérabilités peuvent être situées au niveau des services FTP, HTTP ou SMTP, ou encore au sein de certains systèmes clients, comme au sein d’applications de messagerie ou de navigateurs. En ce qui concerne les vulnérabilités « hautement critiques », elles peuvent elles aussi être exploitées à distance et entraîner la compromission des systèmes. Là encore, la réussite d’une attaque ne nécessite normalement aucune interaction. En revanche, aucune méthode permettant d’exploiter ce type de vulnérabilités n’est connue au moment où elles sont révélées. Elles se situent elles aussi au niveau des services FTP, HTTP ou SMTP, ou encore au sein de systèmes clients, comme au sein d’applications de messagerie ou de navigateurs.

« Le nombre de failles découvertes au sein de ces trois produits est révélateur de l’exceptionnelle opportunité offerte aux pirates souhaitant infiltrer des systèmes vulnérables. Cela témoigne également de la nécessité des solutions de gestion des vulnérabilités logicielles », poursuit Kasper Lindgaard . « Pour minimiser les risques, l’approche la plus simple, rapide et rentable pour les entreprises et les particuliers consiste à corriger les vulnérabilités connues avant qu’elles ne deviennent problématiques. »

Pour leur permettre de rester protégés, Flexera Software propose Personal Software Inspector (anciennement Secunia PSI 3.0) : cet outil gratuit d’analyse de la sécurité informatique identifie les applications non sécurisées et ayant besoin d’une mise à jour. L’outil a été téléchargé sur PC par plus de 8 millions d’utilisateurs afin de détecter les programmes et plug-ins obsolètes.

Les 12 Rapports nationaux de Secunia Research s’appuient des données issues d’analyses réalisées avec l’outil Personal Software Inspector entre le 1er avril 2016 et le 30 juin 2016.