Une nouvelle ressource en ligne vise à faciliter l’évaluation du risque relatif de sécurité lié à l’utilisation de différents types de logiciels populaires, tels que les navigateurs Web et les lecteurs multimédias.
Le mois dernier, j’ai dénoncé la pratique pérenne consistant à simplement compter les vulnérabilités d’un produit logiciel comme une mesure fiable de sa sécurité : comprendre le danger comparatif de l’utilisation de différents titres de logiciels, expliquais-je, nécessite de collecter beaucoup plus d’informations sur chacun, comme la durée les défauts connus existaient sans correctifs. Maintenant, société de gestion des vulnérabilités Sécunia dit son nouveau logiciel fiches essayez de combler ce manque d’informations, en allant au-delà du simple nombre de vulnérabilités et en remédiant au manque de rapports standardisés et programmés sur les paramètres de sécurité importants pour les principaux titres de logiciels.
« fiche d’information » de Secunia sur les failles de sécurité d’Adobe Reader.
« Dans le secteur financier, par exemple, les paramètres de performance clés sont communiqués annuellement ou trimestriellement afin de fournir systématiquement aux parties intéressées et au public des informations pertinentes pour la prise de décision et l’évaluation des risques », a déclaré la société.
En plus de répertorier le nombre de vulnérabilités signalées et corrigées par différents éditeurs de logiciels, les fiches d’information montrent l’impact d’une attaque réussie sur la faille ; si la faille de sécurité a été corrigée ou non le jour de sa divulgation ; et des informations sur la fenêtre d’opportunité d’exploit entre la divulgation et la date à laquelle un correctif a été publié.
Les fiches d’information permettent des comparaisons utiles, par exemple entre Chrome, Firefox, Internet Explorer et Opera. Mais je crains qu’ils ne servent principalement à attiser les guerres de flammes sur le navigateur le plus sécurisé. La réalité, comme le montre l’objectif des kits d’exploitation comme Eleonore, Crimepack et SEO Sploit Pack, est que les escrocs informatiques ne se soucient pas du navigateur que vous utilisez : ils comptent sur les utilisateurs naviguant sur le Web avec des logiciels obsolètes, en particulier des plugins de navigateur comme Java, Adobe Flash et Lecteur (tous les liens mènent à des fichiers PDF).