A la vue de ces résultats, certains blogs se sont empressés de tirer à boulets rouges sur Apple, une vieille tradition issue des années 90, qui a ressurgi avec la petite bataille qui anime le duel iOS/Android depuis 2008.
iOS et OS X seraient-ils donc tout à coup devenus de vraies passoires ?
En préampule, précions que tout OS contient malheureusement des centaines de failles pour une raison mathématique : il est pratiquement impossible de vérifier le contenu d'un logiciel de manière exhaustive. Multipliez cela par plusieurs centaines de milliers (voire quelques millions) de lignes de codes, prenez en compte toutes les librairies tierces, les composants additionnels (parfois Open Source), et vous savez de facto que tout système d'exploitation moderne contient statistiquement quelques milliers de failles de sécurité connues et inconnues.
Secondo, l'étude en question n'est pas très fair-play. CVE a en effet trié ses résultat par OS, sans faire le distingo entre les versions d'OS X, une précaution pourtant prise sous Windows. Résultat ? Le système Desktop d'Apple n'arbore finalement que trois fois moins de failles que son principal concurrent...
Le second paramètre concerne la criticité. Un tel classement traite de la même façon une petite faille qui nécessite d'avoir le Mac sous le bras et une faille exploitable via le réseau par exemple. Ça tombe bien, CVE renseigne aussi ce paramètre dans un tableau séparé. Et là, on se rend compte que la majorité des failles sous Windows sont jugées très critiques, bien loin devant OS X. En nous lisant régulièrement, vous savez d'ailleurs que la plupart des failles jugées graves sur Mac nécessitent souvent d'avoir la machine sous la main et parfois même accès à un compte utilisateur actif, un élément qui abaisse nettement le niveau de risque pour l'utilisateur lambda.
Concernant iOS, ses 375 failles sont bien loin devant Android (130). Mais là encore, l'étude est biaisée. Apple a adopté une politique de publication assez stricte et systématique là où Google rechigne à détailler ses mises à jour, une subtilité qui n'est pas mentionnée ici. Par ailleurs, on pourrait se poser à nouveau la question de la criticité : comment expliquer que la quasi-totalité des malware se concentrent sur la plateforme Android, qui ne contiendrait que trois fois moins de failles que son concurrent ? Les études se suivent et se ressemblent pourtant sur le sujet ! Autre paramètre, l'étude ne prend pas en compte les correctifs ni les taux d'adoptions de ces derniers, un point loin d'être négligeable lorsqu'on sait que les utilisateurs d'iPhone sont majoritairement à jour dans les updates, là où Google peine à faire adopter ses versions annuelles.
A l'arrivée, ce genre d'étude démontre surtout qu'il est aisé de détourner ces chiffres suivant les thèses que l'on souhaite défendre. Du vilain petit canard qui ne corrigeait jamais ses failles dans les temps, Apple a aujourd'hui plutôt bonne réputation dans le milieu de la sécurité, non seulement car elle est de plus en plus transparente dans ses publications, mais aussi car le délais entre la découverte et le correctif a été nettement réduit.
Gardons tout de même à l'esprit qu'aucun système n'est inviolable, y compris chez Apple, les possibilités offertes par les logiciels de déplombage le démontrent d'ailleurs à chaque mise à jour d'iOS.
