Considéré comme une certitude mais jamais prouvé, le manque de volonté des administrateurs de serveurs et autres possesseurs d'ordinateurs à installer les derniers correctifs de sécurité vient d'être démontré par une étude de Qualys.

Le directeur technique de cette société américaine a en effet présenté hier les résultats de 18 mois d'observation, à l'occasion de la conférence Black Hat à Las Vegas. Spécialisée dans les audits et la gestion de la sécurité, Qualys a comptabilisé de janvier 2002 jusqu'à aujourd'hui les failles sur 185 000 machines. Pour aboutir au chiffre de 1,24 million de vulnérabilités non corrigées.

La vitesse d'application des correctifs de sécurité est en effet extrêmement faible. Il faut ainsi 30 jours pour que les failles les plus dangereuses soient comblées sur 50 % des ordinateurs. Un chiffre qui passe à 60 jours pour les menaces moins sérieuses. Trop tard dans la plupart des cas. En effet, selon Qualys, 60 jours est justement le temps qu'il faut pour que 80 % des outils permettant à des pirates d'attaquer des systèmes mal protégés soient mis en circulation.

Même au-delà de deux mois, la menace ne disparaît pas. Certaines vulnérabilités sont ainsi jugées « immortelles ». Entre les vieux systèmes jamais remis à jour et les nouveaux installés sans que les correctifs soient appliquées, plusieurs failles restent exploitables indéfiniment.

Dans l'immédiat, le monde de la sécurité se préoccupe surtout d'une faille critique, permettant à un pirate de prendre le contrôle à distance d'un PC, révélée par Microsoft le 16 juillet. Le même jour, le patch était disponible sur le site de l'éditeur. Mais n'aurait été appliqué que par une minorité d'utilisateurs.