IBM publie X-force, son palmares des vulnérabilités en ligne
Désigné plus mauvais "patcheur de vulnérabilités", Google conteste la méthode de l'équipe X-Force d'IBM.
Le rapport établi par IBM, qui classe les éditeurs en fonction de leur assuidité à corriger les failles de sécurité dans leurs logiciels, vient de désigner Google comme le plus mauvais et fait passer Microsoft à la première place. Google, qui chute de la sixième à la douzième place, a protesté contre les méthodes utilisées par l'équipe X-Force d'IBM pour réaliser son rapport semestriel 2010 sur la sécurité, intitulé "Risques et tendances".
Pour justifier ces changements, Tom Cross, un blogueur d'IBM, a affirmé qu'il était difficile de suivre toutes les publications et les correctifs de vulnérabilité, du fait que les données devaient être recueillies manuellement. "Comme vous pouvez l'imaginer, il s'agit d'une tâche complexe, car chaque éditeur de logiciel gère les failles de sécurité de manière différente et il existe aujourd'hui peu de normes pour le partage de cette information," a-t-il ainsi écrit. Dans l'un de ses blogs, Google estime cependant qu'il faudrait faire plus d'efforts pour vérifier les données utilisées dans ces rapports. "Dans un premier temps, les personnes chargées de réunir les informations pour constituer cette base de données devraient s'adresser aux éditeurs et leur faire part de leur intention afin de trouver une solution durable qui garantisse un échange d'information plus cohérent pour les deux parties," a déclaré dans son blog Adam Mein, membre de l'équipe chargé de la sécurité chez Google. "Une autre amélioration importante consisterait à obtenir plus de transparence de la part des compilateurs - notamment en ce qui concerne l'intégration de davantage de données brutes, selon la méthodologie qui sous-tend la collecte des informations, et une présentation critique reconnaissant les limites des données présentées."
Mal classé, Google conteste la méthodologie d'IBM
Google s'est plaint à IBM parce que le rapport déclare que l'entreprise présente un taux de vulnérabilités critiques, identifiées et non patchées, de 33%. Or, il s'est avéré après coup que les 33% font référence à un patch pour trois vulnérabilités, et que l'une d'entre elles n'est pas une faille de sécurité.
IBM a publié deux listes, l'une qui établit le classement des entreprises en fonction des vulnérabilités connues mais non patchées et l'autre listant les entreprises en fonction des vulnérabilités critiques non patchées. C'est ainsi que Google a chuté de la sixième à la douzième place dans la première évaluation et de la première à douzième place dans la seconde. Mais ce n'est pas la seule à accuser un repli. D'autres éditeurs de logiciels reculent de manière significative dans le classement, comme Sun, qui passe respectivement de la première à cinquième place et de la septième à la douzième place - à égalité avec Google -, et Linux, qui passe de la septième à la dixième place et de la quatrième à la douzième place, selon les deux types de critères retenus par le rapport de l'équipe X-Force d'IBM.
Au final, le classement des entreprises en fonction du nombre de vulnérabilités non patchées et connues est le suivant : Microsoft, 23%; Mozilla, 17%; Apple, 12%; IBM, 9%; Sun, 8%; Oracle, 6%; Cisco, 6%; Novell, 5%; HP, 4%; Linux, 3%; Adobe, 3%; Google, 0%. Celui des entreprises en fonction du nombre de vulnérabilités critiques connues et non corrigées est : IBM, 29%; Oracle 22%; Novell, 10%; Microsoft, 7%; HP, 5%; Mozilla, 4%; Adobe et Cisco avec 2%, et Apple, Google, Linux et Sun, chacune avec 0%.
Crédit photo D.R.