IBM publie X-force, son palmares des vulnérabilités en ligne

le 03/09/2010, par Jean Elyan, avec IDG NS, Actualités, 546 mots

Désigné plus mauvais "patcheur de vulnérabilités", Google conteste la méthode de l'équipe X-Force d'IBM.

Le rapport établi par IBM, qui classe les éditeurs en fonction de leur assuidité à corriger les failles de sécurité dans leurs logiciels, vient de désigner Google comme le plus mauvais et fait passer Microsoft à la première place. Google, qui chute de la sixième à la douzième place, a protesté contre les méthodes utilisées par l'équipe X-Force d'IBM pour réaliser son rapport semestriel 2010 sur la sécurité, intitulé "Risques et tendances".

Pour justifier ces changements, Tom Cross, un blogueur d'IBM, a affirmé qu'il était difficile de suivre toutes les publications et les correctifs de vulnérabilité, du fait que les données devaient être recueillies manuellement. "Comme vous pouvez l'imaginer, il s'agit d'une tâche complexe, car chaque éditeur de logiciel gère les failles de sécurité de manière différente et il existe aujourd'hui peu de normes pour le partage de cette information," a-t-il ainsi écrit. Dans l'un de ses blogs, Google estime cependant qu'il faudrait faire plus d'efforts pour vérifier les données utilisées dans ces rapports. "Dans un premier temps, les personnes chargées de réunir les informations pour constituer cette base de données devraient s'adresser aux éditeurs et leur faire part de leur intention afin de trouver une solution durable qui garantisse un échange d'information plus cohérent pour les deux parties," a déclaré dans son blog Adam Mein, membre de l'équipe chargé de la sécurité chez Google. "Une autre amélioration importante consisterait à obtenir plus de transparence de la part des compilateurs - notamment en ce qui concerne l'intégration de davantage de données brutes, selon la méthodologie qui sous-tend la collecte des informations, et une présentation critique reconnaissant les limites des données présentées."

Mal classé, Google conteste la méthodologie d'IBM


Google s'est plaint à IBM parce que le rapport déclare que l'entreprise présente un taux de vulnérabilités critiques, identifiées et non patchées, de 33%. Or, il s'est avéré après coup que les 33% font référence à un patch pour trois vulnérabilités, et que l'une d'entre elles n'est pas une faille de sécurité.

IBM a publié deux listes, l'une qui établit le classement des entreprises en fonction des vulnérabilités connues mais non patchées et l'autre listant les entreprises en fonction des vulnérabilités critiques non patchées. C'est ainsi que Google a chuté de la sixième à la douzième place dans la première évaluation et de la première à douzième place dans la seconde. Mais ce n'est pas la seule à accuser un repli. D'autres éditeurs de logiciels reculent de manière significative dans le classement, comme Sun, qui passe respectivement de la première à cinquième place et de la septième à la douzième place - à égalité avec Google -, et Linux, qui passe de la septième à la dixième place et de la quatrième à la douzième place, selon les deux types de critères retenus par le rapport de l'équipe X-Force d'IBM.

Au final, le classement des entreprises en fonction du nombre de vulnérabilités non patchées et connues est le suivant : Microsoft, 23%; Mozilla, 17%; Apple, 12%; IBM, 9%; Sun, 8%; Oracle, 6%; Cisco, 6%; Novell, 5%; HP, 4%; Linux, 3%; Adobe, 3%; Google, 0%. Celui des entreprises en fonction du nombre de vulnérabilités critiques connues et non corrigées est : IBM, 29%; Oracle 22%; Novell, 10%; Microsoft, 7%; HP, 5%; Mozilla, 4%; Adobe et Cisco avec 2%, et Apple, Google, Linux et Sun, chacune avec 0%.

Crédit photo D.R.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...