HP, IBM et Microsoft les plus longs à patcher ?

Zero-Day Initiative, qui rend publiques des vulnérabilités critiques non corrigées au bout de six mois, a fait son bilan pour 2011. Il n'est pas flatteur pour IBM, HP et Microsoft

IBM, HP et Microsoft prennent la tête du classement des sociétés les plus lentes pour corriger des vulnérabilités signalées par les dénicheurs de faille de Zero-Day Initiative (ZDI), une initiative de la société experte en sécurité Tipping Point.

Cette dernière, connue pour organiser le fameux concours de hacking Pwn2Own, laisse six mois aux éditeurs pour corriger les 0-day que des chasseurs de failles lui vendent. Passé ce délai, la vulnérabilité est publiée, mais tous les détails ne sont pas publics. Or, en 2011, Tipping Point, qui appartient à HP, a dûpublier 29 failles de type 0-day.

Sur ces 29 failles, 10 concernaient des produits IBM (essentiellement Lotus), 6 des solutions HP (surtout Data Protector) et 5 Microsoft (Office). Des logiciels de CA, Cisco et EMC font également partie de la liste. Bon nombre des vulnérabilités sont d'une gravité notée 9 ou 10, sur 10, par la référence CVSS.

La démarche de rendre publique les failles peut être efficace et mieux motiver les éditeurs à les corriger. Ainsi, les cinq vulnérabilités d'Office que ZDI a rendu publiques le 7 février 2011, ont été toutes corrigées en avril par Microsoft.

ZDI a acheté six vulnérabilités 0-day SCADA aux chasseurs de faille en 2011, concernant des produits General Electric, Honeywell et InduSoft. Or, aucune n'a été rendue publique, preuve que les fournisseurs les ont toutes corrigées en moins de six mois.