Le cabinet d'analystes Yankee Group vient de publier une étude qui tranche avec la litanie des rapports mettant en cause les défauts de sécurité des produits Microsoft : cette fois, en effet, ce sont les logiciels de sécurité eux-mêmes (antivirus, pare-feu...) qui sont montrés du doigt. Le cabinet a recensé 77 vulnérabilités distinctes rapportées par les éditeurs de ces produits de janvier 2004 à mars 2005. Le rythme des découvertes de ces failles s'est même accéléré ces derniers mois au point de dépasser celui des produits Microsoft et de s'aligner sur celui de l'édition de logiciels en général.

On aurait pu s'attendre à mieux de la part de ceux dont la sécurité est le métier. Pourtant, ce rapport ne surprend pas Jérôme Lahalle, responsable adjoint de la veille technologique au cabinet de conseil en sécurité informatique Lexsi : « Il faut garder à l'esprit qu'aucun produit n'est sûr à 100 %. Or, les failles sont utilisées par les pirates pour installer des spywares, des relais de spams, et les pirates s'intéressent donc aux logiciels les plus répandus. »

De moins en moins de hackers attaquent en effet les logiciels du marché pour la gloriole, l'amour de l'art ou par pur vandalisme : leurs actions sont rarement gratuites et l'intérêt financier est devenu leur premier mobile. En somme, les logiciels de sécurité sont victimes de la conjugaison de leur succès et de la professionnalisation de la piraterie.

Ce rapport du Yankee Group ne remet toutefois pas en cause le recours aux logiciels de sécurité, car on est toujours mieux protégé avec que sans, mais il constitue un signal d'alarme pour leurs éditeurs. Ceux-ci vont en effet devoir renforcer les procédures de contrôle de leurs produits mais aussi leurs capacités de réaction en cas de découverte d'une faille. Ainsi chez Symantec, même si on minimise l'augmentation du nombre de failles constatées - Alfred Huger, directeur senior de l' engineering chez Symantec Security Response, la qualifie de « modeste » -, une réflexion a tout de même été engagée afin d'évaluer les risques.

Chez McAfee également, on n'hésite pas à doubler les mécanismes de protection à l'intérieur même des produits. Comme le dit Greg Day, analyste sécurité chez McAfee, « nous devons être paranoïaques dans tout ce que nous faisons car nous sommes la cible ultime des pirates » .

Le Yankee Group signale que, jusqu'à présent, on ne connaît qu'un seul ver ayant tiré parti de ces déficiences. Witty, c'est son nom, peut se targuer d'un résultat exceptionnel : il a infecté 100 % des machines qu'il a rencontrées sur lesquelles tournait le logiciel visé.