Après les rumeurs qui ont circulé sur une éventuelle vulnérabilité sous Firefox, Mozilla met les choses au point.

L'information que nous vous avons présentée hier après-midi en faisait état : un possible "déni de service" (Denial of Service, ou DoS*, en anglais) engendrerait la fermeture inopinée du navigateur Internet Mozilla Firefox. Nous assortissions le titre de notre article d'un point d'interrogation, tant la source de ces informations semblait vaporeuse. Nous faisions bien...

Aujourd'hui, Gervase Markham**, un des développeurs émérites de l'équipe Mozilla, prend la parole, et le ton est critique. Voici la traduction de ses propos :

"Il semblerait que le succés de Firefox encourage n'importe qui à faire des bonds en l'air, et à attirer l'attention d'un site comme Slashdot avec une 'information' relative à la sécurité (de Firefox). Frank (Hecker ; un autre développeur de Mozilla) a fait remarqué que Firefox est devenu un moyen de vendre de l'info, notamment dans le cadre de cette nouvelle 'guerre des navigateurs Internet', Firefox contre Internet Explorer. Du fait que la sécurité est un des terrains sur lesquels on compare ces deux programmes, il est aisé de s'en inspirer pour faire circuler une histoire du genre 'Quel choc! Firefox n'est pas aussi sûr que le disent ses concepteurs'. Par conséquent, chaque soupçon autour d'une éventuelle faille est parfois traité sans le scepticisme que l'on pourrait attendre d'un bon enquêteur.

Voici un 'scoop': il existe bon nombre de pages HTML mal écrites qui 'plantent' Firefox, de la même manière qu'il y a beaucoup de documents mal fagottés qui provoquent un dysfonctionnement sous Word. Cela n'implique pas qu'il y ait de faille de sécurité dans ces deux programmes, et le bogue mentionné (bug 210658) est dans ce cas. Appeler cela un DoS (Denial of Service) est franchement un abus de langage. 'Planter' une application isolée, utilisée par une seule personne, n'est pas un DoS.

De plus, il me semble nécessaire de répéter que la sécurité (informatique) n'est pas un état, c'est un processus, et le fait que, depuis la sortie de Firefox 1.0, nous ayons procédé à autant de mises à jour (sur notre logiciel) montre que nous prenons ce processus très au sérieux. Mais nous ne diffuserons aucun correctif cette fois, à moins que quelqu'un nous apporte la preuve que ce bogue est autre chose qu'un simple dysfonctionnement."

Ouf! On a bien fait de le mettre, ce point d'interrogation dans le titre...


* Il faut faire la distinction entre un DoS (Denial of Service), autrement dit un 'plantage' isolé, et un DDoS (Distributed Denial of Service), qui est un dysfonctionnement en chaîne, le plus souvent à cause de la propagation d'un code malicieux ou d'une erreur de programmation.

** Gervase Markham est en fait un pseudonyme, inspiré du nom d'un auteur britannique du 16ème et 17ème siècle, très prolifique et un peu excentrique...



Source : Planet Mozilla