Microsoft déclare que Vista est plus sécurisé que Mac OS X et Linux

Etude à l’appui, Microsoft veut prouver que son nouveau système
d’exploitation est le plus fiable que celui de ses concurrents

Microsoft a comblé moins de failles de sécurité de son système Windows Vista en comparaison de n’importe quel autre environnement de bureau récent, se targue l’éditeur dans une nouvelle étude (PDF). « Windows Vista a amélioré son niveau de sécurité par rapport à ses prédécesseurs et offre un niveau sensiblement supérieur comparé aux systèmes d’exploitation modernes concurrents », affirme Jeff Jones, directeur de l’initiative Trustworthy Computing au sein de l’unité Security Business Unit chez Microsoft.

L’étude a comparé le nombre de failles constatées pendant 90 jours sur Windows Vista, Windows XP, Red Hat Enterprise Linux 4 (REL4) workstation, Ubuntu 6.06 LTS, Novell Suse Linux Enterprise Desktop 10 (SLED10) et Apple Mac OS X. (voir le tableau page suivante). Vista bat mes autres systèmes sur quasiment tous les fronts. Le logiciel enregistre le plus petit nombre de vulnérabilités corrigées et les correctifs les plus mineurs avec un niveau de sévérité jugé  » Important » (high). Il est classé deuxième derrière Windows XP dans le nombre de failles non corrigées après 90 jours. Mac OS X d’Apple arrive troisième suivi d’Ubuntu, SLED10 et REL4.

Comparer le nombre de correctifs et de vulnérabilités dévoilées est une méthode controversée pour évaluer le niveau de sécurité des produits. Des systèmes d’exploitation différents offrent différentes fonctionnalités, offrant aux attaquants diverses façon d’attaquer l’application.

Jeff Jones tente d’anticiper les critiques sur les fonctionnalités en intégrant les versions nues des trois distributions Linux présentes dans le test. Celles-ci ont été nettoyées des applications livrées avec la distribution mais sans équivalence sur Windows Vista comme la suite bureautique OpenOffice ou les outils graphiques et de développement.

Le nombre de correctifs échoue également à considérer la popularité auprès des attaquants et des chercheurs en sécurité. En tant qu’OS dominant sur le marché, Windows fait courir un plus grand risque auprès de ses utilisateurs en tant que cible potentielle. Mais cette situation a valu à l’application une plus grande attention à la fois de la part de Microsoft que des chercheurs en sécurité dans la volonté de protéger leurs clients.

Dans le même temps, les chercheurs ont commencé à surveiller de près la solution d’Apple. Cela a été mis en évidence par la frustration générée par l’attitude arrogante de la firme envers des chercheurs extérieurs autant que par le refus des fans de Mac d’admettre que l’OS n’est pas infaillible. Cela a provoqué la publication d’un ensemble de vulnérabilités dans les jours qui ont suivi le lancement de Safari pour Windows.

Le rapport de Jeff Jones est critiquable mais il semble avoir pris ce risque en considération. En conclusion des 14 pages du rapport, l’auteur écrit qu’il « encourage les lecteurs à défier ses prétentions, analyses et conclusions et de produire un retour critique ? mais avec la même (ou supérieure) rigueur méthodologique afin d’éviter les adhésions enthousiastes des insupportables ferveurs évangélistes. »

Les vulnérabilités constatées dans les 90 jours qui ont suivi le lancement de Vista :

Failles de pré-lancement1 (Important)* Failles corrigées dans les 90 premiers jours (Important)* Failles non corrigées après les 90 jours (Important)*
Windows Vista 0 12 (10) 15 (1)
Windows XP 3 (0) 36 (23) 3 (2)
REL4ws 129 (40) 281 (86) 65 (12)
REL4ws minimisé** n/a 214 (62) 59 (12)
Ubuntu 6.06 LTS 29 (9) 145 (47) 20 (n/a)
Ubuntu 6.06 minimisé** n/a 74 (28) 11 (2)
SLED10 23 (5) 159 (50) 27 (6)
SLED10 minimisé** n/a 123 (44) 20 (6)
OS X 10.4 10 (3) 60 (18) 16 (3)

1: vulnérabilités découvertes avant la distribution de l’application. Dans la plupart des cas, un correctif était disponible mais n’a pas été appliqué par l’utilisateur après l’installation.

* Assignation du niveau de sécurité selon les critères du National Vulnerabilitiy Database of the National Institute of Standards and Technology.

** Distribution minimalisée pour limiter les fonctionnalités à celles de Windows en supprimant les composants comme OpenOffice et les outils de développement.