vendredi 13 novembre 2009

Firefox serait une passoire


Le célèbre navigateur aurait plein de failles de sécurité. C'est ce qui ressort d'un rapport publié par Cenzic. Selon cette société californienne spécialisée dans la sécurité des applications web, le navigateur de Mozilla aurait mis en cause dans 44% des cas. Le deuxième mauvais élève serait Safari avec 35% des cas, puis Internet Explorer avec 15% des cas. Le bon élève serait Opera avec seulement 6% des cas.
Cette étude s'appuie sur des statistiques effectuées pendant le premier et le deuxième trimestre 2009.



L'analyse faite par une autre société très connue, Secunia, confirme que Firefox 3 présente de nombreuses failles.
Secunia en a repéré 113 depuis le début de l'année. 85% serait importantes. Mais heureusement, elles ont toutes été corrigées.

Si l'on regarde du coté d'Internet Explorer 7, la situation est différentes. Secunia a compté, sur la même période, 92 failles, dont 83% sont graves.

C'est un peu mieux. Oui mais voilà : à la différence de Mozilla, Microsoft n'a pas corrigé 17% de ces failles !

En fait, ce n'est Firefox en lui-même qui serait en cause mais les multiples extensions (modules) que les internautes installent et qui présentent par contre des vulnérabilités.

Il ne faut donc pas installer des extensions (appelées aussi plug-in) depuis n'importe quel site. Il faut les installer depuis le site officiel de Mozilla. La solution la plus simple consiste à lancer Firefox et à cliquer sur Outils, Modules complémentaires. Ensuite, il faut cliquer sur catalogue et taper soit le nom précis d'une extension, soit un thème comme par exemple « sécurité ».

Conclusion :
1- Firefox a peut-être plus de failles mais elles sont toutes corrigées rapidement. Ce n'est pas le cas d'Internet Explorer.

2- Il ne faut pas télécharger n'importe quelle extension. Pour réduire les risques d'infection via des modules « exotiques », Mozilla a mis en ligne la page Plugin Check. Elle permet à tout utilisateur du navigateur de vérifier instantanément l'état de mise à jour d'une quinzaine de plug-in.

2 commentaires:

  1. Bonjour,

    quelques remarques:
    1. les extensions et les plug-ins ne sont pas la même chose

    2, "en fait, ce n'est Firefox en lui-même qui serait en cause mais les multiples extensions (modules) que les internautes installent" <- quelle est la source de cette information ?

    3. PlugIn Check n'est pas là pour réduire le risque d'infection par un module "exotique" mais pour maintenir les plug-ins courants (comme Flash) à jour

    4. L'information vraiment intéressante pour juger de la sécurité d'un produit ce n'est pas le nombre de failles rapportées, mais le nombre de failles multiplié par le temps pendant lequel ces failles ne sont pas patchées.

    5. comment expliquer les mystérieuses différences de chiffres ?
    - d'après Cenzic 44% des "cas" (de quoi on parle au juste ?) pour Firefox contre 15% pour Internet Explorer
    - d'après Secunia 113 vulns pour FF contre 92 pour IE
    Dans un cas on a le triple, dans l'autre on a le même ordre de grandeur. On est censé comprendre quoi ? Soit on ne parle pas de la même chose, soit au moins une des deux sources d'information est biaisée...

    RépondreSupprimer
  2. Bonjour

    merci pour ces précisions très intéressantes.

    Concernant les conclusions différentes des deux études on peut en effet se poser des questions sur leur méthodologie et leur objectif.

    RépondreSupprimer