Overblog Tous les blogs Top blogs Politique Tous les blogs Politique
Editer l'article Suivre ce blog Administration + Créer mon blog
MENU

Bienvenue à toutes et à tous sur mon blog politique. Vous y trouverez mes textes ou ceux de mes collaborateurs, des articles intéressants, des munitions idéologiques, des blagues pour vous détendre un peu dans ce monde de brut, et quelques photos et imag

Publicité

Failles de sécurité : Firefox et Internet Explorer difficiles à départager

Sécurité - Symantec attribuait en 2008 à Mozilla 99 failles dans ses navigateurs, et 47 à Internet Explorer. ZDNet.fr a cherché à comptabiliser le nombre de vulnérabilités. Bilan : une tâche ardue qui ne suffit pas à traduire la sécurité d’un logiciel.

Vous avez été nombreux à commenter les chiffres avancés par Symantec sur les vulnérabilités des navigateurs Web. Le point du rapport de Symantec le plus contesté est un nombre de failles documentées (confirmées ou non par l'éditeur de l'application) dans Firefox supérieur à celui d'Internet Explorer.

Il est vrai qu'en oubliant de mentionner certaines données, comme la ou les versions des navigateurs concernées par ces vulnérabilités, Symantec prête le flanc à la critique. Mozilla, comme Microsoft, édite et met à jour plusieurs versions de Firefox (et plusieurs OS). Une même faille peut donc affecter plusieurs versions d'un navigateur. Pour autant, elle ne devrait a priori être comptabilisée qu'une fois.


Dans les annexes de son étude 2008, à la page 99, Symantec prend soin de préciser qu'il est complexe d'identifier précisément chaque vulnérabilité. Une attaque pouvant être la combinaison de plusieurs conditions, chacune de ces conditions pourrait dès lors être considérée comme une vulnérabilité.

En outre, le nombre de vulnérabilités, dont la gravité est variable (de faible à hautement critique), ne peut suffire à évaluer la sécurité globale d'un navigateur. Chaque éditeur a en effet souvent des règles propres en matière de transparence (divulgation) et de correction de son code source.

Enfin, le taux d'utilisation (ou part de marché) d'une application influera également sur la dangerosité d'une faille. Ainsi, les conséquences de l'exploitation d'une vulnérabilité dans un logiciel utilisé par plus de 50% des internautes seront vraisemblablement plus importantes que pour un autre logiciel dont la part de marché est moindre. Le temps écoulé entre la découverte et la correction d'une faille est donc essentiel.

28 failles en 2008 dans Firefox 3.X, 25 dans Internet Explorer 7

 

 

Secunia est une société spécialisée dans les failles de sécurité. Elle publie à ce titre des bulletins d'alerte concernant les vulnérabilités des navigateurs. Secunia précise sur son site que le nombre de bulletins publiés ne permet pas d'établir de comparatifs entre des applications. En effet, un bulletin d'alertes peut englober plusieurs vulnérabilités et erreurs.

Ainsi, en 2008, Secunia a publié 8 bulletins sur Firefox 3.X et 10 relatifs à Firefox 2.X. Si le premier bulletin sur Firefox 3.X publié en juin ne comprend qu'une faille, celui du 16 juillet englobe lui deux vulnérabilités (d'ailleurs aussi présentent dans Firefox 2.X).

Pour 2008, Secunia dénombre ainsi 28 vulnérabilités dans Firefox version 3. Sur son site, Mozilla a publié sur la même période 26 bulletins d'alertes, certains mentionnant plusieurs failles.

Concernant cette fois Internet Explorer 7.X, Secunia a publié 11 bulletins d'alertes en 2008, englobant 25 vulnérabilités. Néanmoins, il est difficile sur la base de ce chiffre de comparer la sécurité de Firefox 3 et celle d'Internet Explorer 7, notamment car cette version de Firefox n'est finalisée que depuis juin 2008.

 

Les failles : un indicateur parmi d'autres


Comme Secunia, le français Vupen Security propose des alertes de sécurité. Et à l'image de Secunia, cette entreprise regroupe plusieurs failles dans un même bulletin. En 2008, Vupen Security a publié un peu plus de 30 bulletins traitant de vulnérabilités dans Firefox.

Ces données ne sont toutefois pas exploitables en l'état puisqu'une même faille peut faire l'objet de plusieurs bulletins d'alertes, et notamment un par plate-forme concernée (Red Hat, Mandriva, ...). Un comparatif entre IE et Firefox est donc là aussi difficile à établir. La seule méthode comptable ne peut suffire.


Mozilla le plus rapide pour corriger des failles


Comparer les deux navigateurs en matière de sécurité parait plus facilement envisageable en tenant compte uniquement des failles ayant effectivement fait l'objet d'une exploitation. Mais cette méthodologie présente elle aussi un biais. Si Internet Explorer est le plus attaqué, c'est aussi parce qu'il est le navigateur le plus répandu, et pas seulement parce qu'il serait le plus vulnérable.

Pour multiplier l'efficacité de leurs attaques, les cybercriminels tendent en effet à se focaliser sur l'exploitation des failles (et la recherche de celles-ci) des applications les plus utilisées sur Internet. C'est pourquoi, si un logiciel doit être le plus sécurisé possible lors de son développement, un éditeur doit aussi faire preuve de réactivité pour corriger au plus vite une faille et minimiser le nombre d'attaques. En ce domaine, Symantec classait Mozilla et Opera parmi les plus rapides.



ZDNet France
Publicité
Retour à l'accueil
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Commenter cet article