Apple est-elle à la traîne pour la résolution des failles de sécurité ? C'est ce que confirme l'équipe « Project 0 » de Google, qui a présenté un rapport donnant quelques statistiques sur les failles et le temps de réponse des développeurs dans différents domaines. Cette équipe de Google est chargée de trouver les problèmes de sécurité dans les produits de l'entreprise ainsi que dans ceux d'autres fournisseurs.
La tendance est à l'amélioration : en 2021, les développeurs ont mis en moyenne 52 jours pour corriger les failles remontées. La cadence s'accélère, car le secteur tournait autour des 80 jours en 2018. La quasi-totalité des grands fournisseurs interviennent en moins de 90 jours, et Apple le fait en moyenne en 69 jours (tous OS confondus).
Pour ce qui est des navigateurs, Chrome est actuellement le plus rapide à voir ses failles corrigées par rapport à Safari et Firefox. Il y a en moyenne un délai de 30 jours entre le signalement du bug et la sortie d'un correctif disponible pour le grand public. Chez Mozilla, la moyenne se situe à 38 jours. En comparaison, WebKit se traîne : le temps moyen relevé est de 73 jours ! De quoi laisser une belle ouverture aux potentiels attaquants, qui ont donc deux fois plus de temps sur Safari pour exploiter les failles.
C'est un gros problème, et encore plus sur iOS où seule l'API WebKit est autorisée. Elle est la base de tous les navigateurs de l'App Store (Chrome, Firefox), et cette lenteur pénalise tout le monde. Si Apple corrige les failles rapidement, les utilisateurs doivent attendre longtemps avant de pouvoir télécharger les correctifs sur leurs téléphones. Tout cela est lié à la façon dont Apple gère sa partie logicielle : les correctifs de WebKit n'arrivent qu'à chaque mise à jour d'iOS et de macOS. En comparaison, Google peut directement mettre ses applications à jour via Google Play.
