Firefox et sécurité : Mozilla critique l'étude de Bit9

Le par  |  11 commentaire(s)
Firefox_new_logo

Mozilla ne partage évidemment pas l'avis de la société Bit9 selon laquelle Firefox est l'application la plus dangereuse de 2008 en termes de sécurité en entreprise. Pour ce titre polémique, le navigateur serait notamment victime de son ouverture et de sa transparence.

Firefox_new_logoC'est sans grande surprise que Mozilla a réagi au récent classement de Bit9 faisant de Firefox l'application Windows la moins souhaitable en entreprise en 2008. La société de sécurité qui fournit une technologie de liste blanche pour le contrôle des applications, a ainsi pointé du doigt de nombreuses vulnérabilités critiques pour ce logiciel populaire auprès des utilisateurs qui a le tort de ne pas supporter un mécanisme de mise à jour centralisée à l'instar de Microsoft SMS ou WSUS.


Mozilla ne changera rien
L'équipe Mozilla en charge de la sécurité a toutefois tiqué sur la méthodologie du palmarès de  Bit9, lui reprochant tout d'abord d'avoir éludé les éditeurs qui cachent l'existence de vulnérabilités dans leurs logiciels. Tout le contraire de Mozilla qui applique en termes de sécurité les mêmes recettes d'ouverture que pour le développement de Firefox. Mozilla loue ainsi son processus de sécurité où tout est public et surtout sa grande réactivité : " La réactivité d'un produit face à des bugs et sa capacité à les corriger rapidement et efficacement est une valeur de référence beaucoup plus significative que leur recensement ".

Quant au mécanisme de mise à jour centralisée, certes Firefox ne fournit pas de mises à jour WSUS mais Mozilla souligne que son fureteur intègre un système automatique (activé par défaut) pour l'application des correctifs sans l'intervention de l'utilisateur. Pour preuve, l'adoption à un taux revendiqué de 90 % dans les six jours d'une nouvelle mise à jour après sa publication. On pourra toutefois objecter que l'application de la mise à jour nécessite tout de même la confirmation de l'utilisateur et que le problème tel que présenté par Bit9 reste entier avec un administrateur IT qui n'a pas réellement la main.

" Les vulnérabilités Firefox évoquées par Bit9 sont corrigées depuis bien longtemps, et pour la majorité d'entre elles dans les jours qui ont suivi leur divulgation. C'est la véritable mesure de la sécurité d'une application : les vulnérabilités connues sont-elles corrigées rapidement, les correctifs testés soigneusement et largement déployés ? ", commente Mozilla.
Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #376141
Mouais, niveau réactivité, c'est pas mieux ou pire qu'ailleurs... Je vois pas pourquoi les autres auraient envie de glander avant de combler une faille. L'avantage de ne pas rendre la faille publique est qu'elle n'est pas exploitée avant d'être corrigée.
Le #376151
ça c'est sûr ! microsoft comble les failles de IE plus vite que la lumière
Le #376161
L'avantage de ne pas rendre la faille publique est aussi de ne pas la corriger. Ainsi, pas de travail supplémentaire et donc pas de frais supplémentaires.
Lorsque la faille est rendue publique l'éditeur est fortement incité à la corriger.
Bit9 est bien connu pour se faire de la pub en déclenchant de fausses polémiques. Leur but est de se faire connaitre avec des frais de pub minimaux. L'idée de pointer Firefox qui est réputé pour sa fiabilité est une idée marqueting efficace.
Une boite minable qui se contente de publier une simple liste blanche (de qualité douteuse) pour signaler quel logiciel à le droit d'être installé et qui se permet de critiquer un navigateur qui innove sans cesse, je trouve ça minable.
HONTE A BITe9
Le #376231
Je rigole...
Microsoft vient d'avouer 1 faille critique dans Internet explorer 7 et une dans Wordpad, mais ne fera rien avant le 2ème mardi de Janvier 2009 pour les combler...
http://www.dslreports.com/forum/r21588917-Microsoft-Security-Advisory-Notification-December-15-2008


Le #376241
je suis tout a fait de l avis de mozilla, sauf qu il faudrait un outil admin pour mettre firefox a jour sur l ensemble du parc
Le #376291
phebus >Pas plus lentement que ton idole Firefox

Kasbery >"L'avantage de ne pas rendre la faille publique est aussi de ne pas la corriger."
Mais oui, c'est bien connu, c'est complètement dans leur intérêt d'avoir des utilisateurs en danger. Je sais que certaines fondations ne corrigent pas leur failles mais c'est loin d'être une généralité et les màj que l'ont voit régulièrement sous les autres navigateurs le montre (Opera, IE and co)

Calypso >Et comme à chaque fois également MS donne les détails de la faille et le moyen de la contourner.
http://support.microsoft.com/kb/961051

sachant au passage qu'une seule des failles en est une étant donné que l'autre ne concerne que les système pas à jour
Le #376311
Luchy >A défaut de fonctionner ( http://img528.imageshack.us/img528/3112/200812161550ny8.png ) ton lien a pour mérite de rappeler à tout un chacun que les paramétrages avancées d'un Windows ne sont pas toujours plus "humains" que linux-en-ligne-de-commande.
Le #376341
KerTiaM >remplace les « » par des "

la méthode "facile" existera en même temps que les mises à jour.

PS : la méthode 2 est graphique
Le #376451
"remplace les « » par des "" Evident pour qui connaît un peu Windows. C'est à ce genre de détail qu'on voit que les newbies linuxien qui le critique n'on même pas fait une ligne de commande dessus ...

"rappeler à tout un chacun que les paramétrages avancées d'un Windows ne sont pas toujours plus "humains" que linux-en-ligne-de-commande"

On continue dans le ridicule... L'utilisateur lambda en entreprise ne voit jamais ce genre de paramétrage. il recoit les mises à jours windows, c'est transparent.

Cette solution concerne un public IT pro. Pas toi donc...
Le #376461
Pour comprendre que je pointais une erreur dans la documentation confuse du palliatif proposé par Microsoft il fallait un peu de jugeote.

Je ne pensais pas que ce petit effort intellectuel était hors de portée. En toute condescendance j'en viendrais presque à te présenter mes excuses pour ne pas avoir nivelé par le bas mon intervention.

Et puis, sois mignon, cesse donc de parler au nom d'un groupe auquel tu n'appartiens visiblement pas.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]