Mais c'est en s'intéressant de plus près au bulletin du CERT qu'on découvre le plus de choses. En particulier, est-ce qu'on compte les avis ou les vulnérabilités ? Bien que l'introduction du CERT soit peu claire sur la question, la liste fournie, elle, l'est. Il s'agit bien d'alertes. Quelle différence me direz-vous ? Simple : plusieurs bulletins peuvent référencer une même faille. Dans la liste, ça se traduit principalement par la mention "Updated". Ainsi, pour une même faille, on trouvera parfois sept avis, qui seront comptée dans l'article comme sept vulnérabilités. Comme le suggère l'auteur de ce billet, j'ai donc repris le compte à grands coups de copier/coller et de wc :

  • Unix/Linux : 2329 avis
  • Windows : 813 avis

Maintenant, grâce à grep, je filtre toutes les occurences du mot "Updated" pour obtenir un compte de vulnérabilités :

  • Unix/Linux : 887 vulnérabilités
  • Windows : 672 vulnérabilités

Arf. Déjà, la différence se fait tout de suite moins imposante. On est passé de x3 à 1/3 de plus (+32%). Mais on n'est toujours pas sur Linux seul. Pour avoir Linux tout seul, il faudrait virer les avis concernant SCO, IRIX, MacOS X, AIX, OpenBSD, FreeBSD, NetBSD, Solaris pour l'essentiel. Et si on vire tout ça, on arrive à quelques 770 failles environ, soit moins de 100 failles de différence (+15%).

J'en resterai donc là, je n'ai pas envie de me lancer dans une argumentation sur le fait que le nombre d'avis de sécurité ne constitue pas un facteur de comparaison efficace, chacun pouvant le tourner à son avantage, et ce n'est pas mon propos. Mon propos, c'est qu'il me semble clair que certains rédacteurs ont le raccourci facile (assimilation des Unix en général à Linux en particulier). En plus, il se trouve qu'ils ne font même pas ce que beaucoup considèrent comme une des bases du métier de journaliste, à savoir lire et vérifier ses sources. Encore qu'ici, il ne s'agisse même pas de vérifier, mais juste de lire et faire fonctionner un peu son sens critique.

Merci donc vnunet.fr pour avoir fait dans le sensationnalisme pour poussser à la lecture de ce torchon, et merci aussi à tous ceux qui n'ont pas fait mieux en reprenant le contenu sans le vérifier. Y'en à même qui se sont aperçu du problème des doublons, mais se sont bien abstenus de refaire le décompte. Merci donc, Microsoft ne vous en demandait pas tant, tout occupés qu'ils étaient à patcher la "feature" WMF.