Le classement des vulnérabilités présentes chez les utilisateurs participants est également intéressant. Il montre en effet, comme indiqué plus haut, une prédominance très nette de deux failles touchant l'implémentation Java d'Oracle qui occupent les deux premières places. La première touchant 35% des systèmes surveillées, la seconde 21%. Cependant, ces chiffres ne disent pas grand chose de plus en l'état et son difficiles à interpréter plus avant. Il aurait été en effet intéressant d'avoir d'autres données comme, par exemple, le pourcentage d'utilisateurs affectés par une faille quand le logiciel visé est installé sur leur machine. Ou le pourcentage d'utilisateurs affectés par au moins une faille touchant un logiciel installé, typiquement Java qui présente deux failles du classement ou Flash qui en totalise trois.

Aussi il convient de se garder d'extrapoler et en déduire, par exemple, qu'Adobe tient la première place parce que ses produits sont cités cinq fois, contre deux fois pour Oracle. Par contre, on peut constater certaines tendances qui semblent s'établir avec le temps. D'abord, la très nette domination de Java en tête de classement sur 2012 avec un tiers des utilisateurs exposés à une ou plusieurs failles. Ensuite, la disparition de Microsoft de ce classement ces deux dernières années. Il s'agit peut-être d'une coïncidence, ou des fruits du travail effectué par l'éditeur pour limiter l'exploitation des failles touchant ses produits. Allez savoir...
Enfin, cette domination d'une seule application démontre quelques facettes de l'inégalité mentionnée plus haut. Certaines applications sont plus visées du fait de leur utilisation massive. D'autres du fait d'une facilité et/ou d'une généricité d'exploitation, ou encore d'une accessibilité plus grande, typiquement via le navigateur. Java combine, dans une certaine mesure, ces trois facteurs. Ce n'est donc pas une surprise qu'elle figure aussi régulièrement dans ce top 10...

Ce qui est également intéressant par rapport à ces chiffres, c'est quand on les met en perspective avec tout ce que le pentesteur moyen croise d'applications métier, savant croisement d'ERPs, de middlewares, de workflows et autres dérivés, accessibles via une interface web tels qu'on trouve souvent en entreprise. Car derrière ce choix supposé simplifier la gestion de l'environnement informatique par sa réduction au client léger qu'est censé être le navigateur, c'est en fait une véritable machine à vulnérabilités qui s'est mise en marche. Car sans même parler de ce qui ne marche que sur telle ou telle version, souvent obsolète, d'Internet Explorer, quand on voit la proportion de ces applications qui réclament le support de Java, voire d'Acrobat ou de Flash, pour simplement fonctionner, il n'est guère étonnant que le parc informatique mondial présente un niveau de vulnérabilité particulièrement propice à la réussite de campagnes d'attaques, probablement persistantes, peut-être furtives, mais qui ciblent (quasiment) toujours les même usual suspects dès lors qu'il s'agit de trouver une faille à exploiter...


En parlant d'Adobe, on notera avec intérêt les discussions autour de la possible circulation d'un 0day visant Adobe Reader 10 et 11 et faisant fi de la sandbox mise en place par l'éditeur. D'une part parce que ça semble démontrer que cette sandbox, bien que constituant un plus non négligeable, est évidemment tout aussi perméable que d'autres, typiquement que celle de Chrome. Et d'autre part parce que partant de là, la vraie mesure préventive n'est pas d'éviter d'ouvrir des documents mais bel et bien de réfléchir sérieusement à changer de lecteur PDF...
Ceci étant, l'existence de cet exploit et de la (des) faille(s) associée(s) n'est pour autant pas encore confirmée par l'éditeur.