Tribune : IE de Microsoft : un choix par défaut… mais justifié

Le par  |  10 commentaire(s)
Rik-Ferguson

Directeur de la Sécurité chez Trend Micro, Rik Ferguson fait part de son opinion suite à l'affaire très médiatisée de la vulnérabilité de sécurité 0-day qui a touché Internet Explorer et son exploitation dans le cadre d'attaques ciblées.

Quel est le navigateur Web le plus sécurisé ? Cette polémique a ressurgi ces derniers jours, alimentée par la récente vulnérabilité zero-day découverte dans Internet Explorer de Microsoft. Cette faille de sécurité majeure a été l'objet de nombreux débats et conseils, voire de recommandations encourageant à changer de navigateur. De nombreux experts en sécurité, des dirigeants d'entreprise et même le gouvernement allemand y sont allés de leur avis. On est en néanmoins en droit de s'interroger : ces recommandations sont-elles pertinentes ?

La sécurité ne peut se résumer à des réactions à chaud, liées à des événements précis. Au contraire, la sécurité consiste à penser une stratégie qui minimise l'exposition aux risques sur le long terme. Il ne s'agit pas d'amender sa stratégie pour le plaisir de le faire, au risque de devoir adopter une nouvelle technologie, avec laquelle l'utilisateur n'est pas forcément familière, et qui entraînerait d'autres vulnérabilités, d'ordre humain cette fois-ci.

Rik-FergusonLes deux alternatives les plus connues à Internet Explorer (et d'ailleurs celles les plus recommandées en ce moment) sont Google Chrome et Mozilla Firefox. Sauf qu'aucune de ces deux applications n'est exempte de vulnérabilité ! À vrai dire, si l'on en croit les chiffres, utiliser Internet Explorer constituerait un moindre mal.

En 2011, Google Chrome a battu tous les records avec 275 vulnérabilités identifiées, et ce chiffre est le pic d'une tendance haussière initiée dès le jour du lancement de ce navigateur. Mozilla Firefox, après son pic de vulnérabilités en 2009, est en repli avec ses 97 failles de sécurité identifiées en 2011. De son côté, Internet Explorer de Microsoft est sur une tendance baissière depuis 5 ans et n'a affiché que 45 vulnérabilités en 2011, un chiffre équivalent à celui de Safari d'Apple. Bien sûr, ces chiffres bruts sont peu significatifs s'ils ne sont pas pondérés par le niveau de gravité de chaque faille de sécurité. Mais notons tout de même que les statistiques sont en faveur de Microsoft Internet Explorer par rapport à ses deux concurrents directs. Le constat reste le même si les vulnérabilités de type zero-day sont comptabilisées, avec 6 pour Google Chrome, 6 pour Internet Explorer et 4 pour Firefox.

En réalité, nous nous attardons trop sur les vulnérabilités zero-day, comme celle récemment identifié sur Internet Explorer. D'ailleurs la simple dénomination "zero-day" est prompte à alimenter l'inquiétude chez le grand public, qui, d'ailleurs, n'est pas vraiment sûr d'en connaître la réelle signification (pour info, une vulnérabilité est dite zero-day lorsqu'elle ne dispose pas de patch de sécurité). Les entreprises, tout comme les individus, peinent à maintenir à jour leurs navigateurs, en installant les très nombreux patchs de sécurité, bien plus nombreux que les quelques vulnérabilités de type zero-day. D'autre part, les attaques ciblent moins les navigateurs que les plug-ins comme QuickTime, Flash ou Acrobat. Ces plug-ins peuvent être utilisés sur différents navigateurs et versions de navigateurs… et sur différents systèmes d'exploitation. Notons enfin que les attaques ciblent de plus en plus les utilisateurs de navigateurs que les navigateurs eux-mêmes, via des techniques de phishing et d'ingénierie sociale.

Ainsi, ce n'est pas le navigateur, quel qu'il soit, qui assurera la sécurité. La sécurité ne dépend que des utilisateurs.

Chaque navigateur connaît ses propres défauts, vulnérabilités et patchs. Et chaque individu utilisera des outils ou des techniques de sécurité qui dépendent de son degré de familiarité avec le navigateur, la technologie ou les menaces. C'est à ce titre que la protection devient efficace et avec un minimum d'impact sur l'expérience de chaque internaute.

Dans la majorité des cas, il est possible donc de continuer à utiliser son navigateur habituel, mais c'est à l'utilisateur lui-même de le sécuriser. En optant pour un nouveau navigateur qui ne lui est pas familier, il risque de perdre en sécurité.

Enfin, un logiciel de sécurité est aussi nécessaire sur un PC qu'une ceinture de sécurité l'est dans une voiture. Il doit protéger contre les vulnérabilités et les tentatives de piratage, qu'un patch soit disponible ou non.

D'aucuns penseront que défendre le bon vieux Internet Explorer est quelque peu "has been". Mais
parfois, le vintage a quelque chose de sécurisant…

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #1028882
Bla bla bla... ah ben oui, vaut mieux avoir une pile de 0-day qu'une pile de patches hein, au moins dans le premier cas on n'a pas à se taper les MAJ. Surtout que Fx et Chrome sont tellement contraignants à mettre à jour, puisqu'ils nécessitent de redémarrer Windows... ah non oups, c'est MSIE ça, encore. Et puis oui, quand on connaît bien MSIE, on peut le sécuriser avec NoScript et compagnie.. ah oups encore, c'est dans Fx et Chrome qu'il y a ces extensions... Bon, euh, donc qu'est-ce qu'il dit encore, l'expert de tendance micro ?
Le #1028922
J'ai un souvenir d'une polémique à propos des statistiques de failles dans les différents navigateurs où les chiffres d'IE était remis en cause de part le manque total de transparence des patchs, puisqu'un seul et même patch pouvait corriger plusieurs faille, mais ça n'a peut être rien à voir ici
Le #1028932
patheticcockroach a écrit(entre-autre)


Bon, euh, donc qu'est-ce qu'il dit encore, l'expert de tendance micro ?



réponse

des conneries



Le #1028962
@patheticcockroach ce que tu dis est vrai et pour les gens qui aiment mettre du sien pour sécuriser leur navigateur, peut être. Sauf qu'au final ... Peu le font.
Par contre pour le reboot après la MàJ d'IE c'est complètement faux, depuis Vista. Il n'y a qu'une monté de version majeure qui oblige à redémarrer.

Par contre là où c'est plus effrayant c'est sur le nombre de failles comblées pour Chrome. Parce que bon, certes, ces failles ne sont pas appelées "0-day" sauf que ça n'empêche pas qu'elles aient pu être exploitées. Ca veut juste dire que personne ne les a mis au grand jour avant correction ... Elles ont très bien pu être exploitées sans jamais qu'on le sache.
patheticcockroach Hors ligne VIP 7663 points
Le #1028982
"Par contre pour le reboot après la MàJ d'IE c'est complètement faux, depuis Vista. Il n'y a qu'une monté de version majeure qui oblige à redémarrer."
=>Intéressant, cela dit ça reste assez léger comme superfonction de MAJ.Sans parler de la disponibilité de MSIE 9 sur XP ou 10 sur Vista, je crois. Et puis à moins que ça ait changé, en général ces MAJ sont accompagnées de MAJ Windows qui elles nécessitent souvent également un reboot.

Quant à la quantité de failles, reste à voir leur sévérité, et encore une fois les mesures de mitigation associées (genre NoScript) en neutralisent généralement une grande quantité... pour quelqu'un qui sait se servir de son PC, en effet. Mais bon, après ceux qui ne s'intéressent pas à sécuriser leur PC, j'imagine que la tirade de RF ne les intéressera pas beaucoup non plus (s'ils sont rationels, ce qui n'est je te l'acccorde pas garanti )
Le #1029062
patheticcockroach a écrit :

"Par contre pour le reboot après la MàJ d'IE c'est complètement faux, depuis Vista. Il n'y a qu'une monté de version majeure qui oblige à redémarrer."
=>Intéressant, cela dit ça reste assez léger comme superfonction de MAJ.Sans parler de la disponibilité de MSIE 9 sur XP ou 10 sur Vista, je crois. Et puis à moins que ça ait changé, en général ces MAJ sont accompagnées de MAJ Windows qui elles nécessitent souvent également un reboot.

Quant à la quantité de failles, reste à voir leur sévérité, et encore une fois les mesures de mitigation associées (genre NoScript) en neutralisent généralement une grande quantité... pour quelqu'un qui sait se servir de son PC, en effet. Mais bon, après ceux qui ne s'intéressent pas à sécuriser leur PC, j'imagine que la tirade de RF ne les intéressera pas beaucoup non plus (s'ils sont rationels, ce qui n'est je te l'acccorde pas garanti )


Je pense que l'on est tout deux (et beaucoup nous rejoindront) extrêmement peu convaincus par les MàJs Crosoft au niveau des "reboots" . Il est vrai qu'elles nécessitent souvent de le faire, à l'opposé des distributions Linux n'ayant généralement besoin de reboot que lorsqu'il y a une mise à jour de sécurité importante ou une MàJ touchant au noyau. Tu prêches un converti
Il n'empêche que c'était "unfair" d'attaquer $soft là-dessus, pour une fois

Evidemment ... Malheureusement la sévérité n'est pas abordée dans l'article, et là encore je vois qu'on est d'accord sur la rationalité et la cohérence des utilisateurs Windows
N'oublions pas qu'en excluant les menaces majeures de ces dernières années (Flame, Stuxnet, Duqu, etc ...) qui étaient toutes très bien ciblées (ce qui en fait d'ailleurs des menaces importantes ...), la plupart des failles sont dans l'utilisation de l'ordinateur par une personne peu avertie ...
Le #1029112
Rik Ferguson : "Oui mon coeur, je te promets d'aller chez le coiffeur dès que j'aurai fini de trouver des failles dans IE"




Le #1029242
Le navigateur le plus sécurisé est le moins utilisé ou pas!
patheticcockroach Hors ligne VIP 7663 points
Le #1029282
jeanlucesi a écrit :

Le navigateur le plus sécurisé est le moins utilisé ou pas!


Lynx?
Le #1029392
Comparer des failles que l'on recherche à des failles que l'on trouve par hasard, c'est limite. Google et Firefox payent les gens qui mettent leurs navigateurs en défaut, c'est pas la politique de Microsoft. Seul Microsoft propose de bidouiller à la main en attendant un correctif. Niveau gravité, la combinaison IE + Windows c'est la quinte flush de la piraterie.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]