Une année de failles : navigateurs web

Le par  |  7 commentaire(s)

La société ScanIT, qui se consacre au domaine de la sécurité, nous propose une étude très intéressante réalisée sur trois navigateurs web : Internet Explorer FireFox / Mozilla Opera Ces trois navigateurs représentent à eux tous la quasi totalité des navigateurs utilisés pour surfer sur le net.

La société ScanIT, qui se consacre au domaine de la sécurité, nous propose une étude très intéressante réalisée sur trois navigateurs web :
  • Internet Explorer
  • FireFox / Mozilla
  • Opera
Ces trois navigateurs représentent à eux tous la quasi totalité des navigateurs utilisés pour surfer sur le net.

Cette société s'est intéressée plus particulièrement aux failles affectant ces navigateurs, et plus spécifiquement au nombre de jours pendant lesquels ces navigateurs ont été soumis à des failles non corrigées.

Et les résultats sont édifiants !

Ainsi, Internet Explorer a été utilisé pendant 98% de l'année 2004 alors que des failles publiques existaient tout en n'étant pas corrigées !
Pour l'anecdote, les 2% restants concerne la période du 12 au 19 octobre 2004.

Bref, une semaine de sécurité pour 51 semaines d'insécurité, la situation est catastrophique.

Concernant le couple FireFox/Mozilla, ces derniers ont été utilisés, et soumis à des failles non corrigées, 15% de l'année 2004.

Selon ScanIT, la très grande différence entre FireFox et IE (15% au lieu de 98%) s'explique par deux facteurs, qui peuvent être discutés. Tout d'abord que les gens qui annoncent les failles auraient plus tendance à le faire publiquement pour des systèmes propriétaires (IE) et en privé pour des systèmes open source (FireFox), ce qui laisserait à ces derniers plus de temps pour corriger leurs failles. L'autre raison sera que la Fondation Mozilla offre une récompense de 500 $ à chaque fois qu'une faille est découverte ;)


Enfin, Opéra a été utilisé en étant soumis à des failles près de 18% de l'année 2004, soit un score comparable à FireFox.


ScanIT nuance toutefois son analyse par deux facteurs :
  • les mauvais résultats d'Internet Explorer peuvent être, en parti, expliqués par la très grande domination de ce navigateur (plus de 90% de part de marché), ce qui explique sa convoitise par les pirates du monde entier
  • Dans la même idée, le fait que FireFox devienne de plus en plus utilisé risque d'attirer l'attention des pirates, et donc voir le nombre de failles augmenter très vite.

Nous verrons bien comment évolue la situation en 2005.


Consulter l'analyse complète
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #38263
en fiat, j'trouve plutôt que ca a un rapport avec le temps de mise à jour, plutôt que le nombrre de faille.
Le #38268
"L'autre raison sera que la Fondation Mozilla offre une récompense de 500 $ à chaque fois qu'une faille est découverte "
Pourquoi microsoft ne le fait pas ! Ils n'ont pas assez d'argent ou....

Le plus important, c'est une politique d'ensemble, produit (IE = 5 ans), réaction...

Apache est énormement utilisé = moins de failles qu'un produit de soft ! L'utilisation a toujours bon dos !
Le #38271
tout a fait crovax
il y a quand même un truc qui me dérange sur firefox.Je crois pas qu'on en est parlé sur GNT.les failles sont en effet corrigées assez rapidement sur firefox.Mais il n'y a apparemment pas de systemes de hotfix comme sur IE.Pour avoir la correction soit on installe une béta avec bcp de chances d'avoir un truc instable ou on attend une version stable mais la le temps de réponse est quand même bien plus long.donc oui les failles sont corrigées rapidement mais en réalité ce n'est pas vraiment le cas J'ai cru comprend qu'un systeme de mise à jour était prévu dans la version 2 mais c'est pas pour tout de suite...
PS:ca n'a rien à voir avec le systeme d'update qui propose juste les dernières extensions et les versions finales
Le #38272
J'attendais le jour ou quelqu'un oserait dire cela(que les failles firefox sont livrées à la fondation sous le manteau). Heureusement que ça reste suppositoire, euh supposée. Surtout j'aime beaucoup la contradiction juste après.
500 ? ça mérite bien de se pencher sur les possibles failles de firefox au moins un week end pour les prétendus dev libres sans le sou.

Grammy Award FUD 2005 : les failles firefox sont cachées au public (oui oui comme le code source).

Soyons sérieux cette affirmation n'a pas lieu d'être, n'importe quelle dev, même débutant qui a un peu de temps peut auditer le code. Demander à l'équipe d'opensbd de le faire, ils sont talentueux pour cela.
Comme dit auparavant, il y a des extensions qui permettent d'etre pplus scéruisé sous firefox (des plus populaires au plus téméraires):
https://addons.update.mozilla.org/extensions/showlist.php'application=firefox&version=1.0&os=nt&category=Privacy%20and%20Security

Maintenant quand une boite de consulting veut se faire de la pub ou vendre un rapport, elle publie un troll.
C'est pas difficile de publier un rapport avec graphiques à l'appui. On se rend sur les différents sites se sécurité et les web agency, sur le cCert et alertes nsa, sur technet.
Pour internet explorer, on réinstalle windows, on va sur windows update, on vérifie les K35683146277917968978 et on donne son avis personnel.
Maintenant personnellement j'aurais bien voulu que l'on compare avec le navigateur Konqueror de l'équipe KDE .
De plus un add-on de firefox ou une extension peut ausi être sujette à une faille comme par exemple celle qui donne la météo donc étude pas très poussée.
Ben oui certaines extensions qui ne sont pas signées peuvent faire autant de dégats qu'un active X
(=> çA je suis sur que ça va être repris ).
Puis un navigateur qui interagit avec le reste du système fait beaucoup plus de dégats qu'un autre, et un surcouche n'arrange pas les choses.

La nuance de ScanIt vaut que dalle, Apache est plus utilisé et à développé moins que failles que son homologue IIS, d'ailleurs c'ets pour ça qu'il représente environ 80 % du marché (pas sur là.

Faille mozilla/firefox dévoilée et patchée sans faire de pubs :
http://xforce.iss.net/xforce/alerts/id/191

Bref comme d'hab, no comment...
Le #38273
Monopolux : j'etais en train d'écrire mon commentaire quand tu as posté le tien mais tu penses apparemment comme moi
Le #38282
Lol!: Ils sont payés combien pour sortir que les failles de FF et Opéra sont annoncées en PV et non révélée au public '!!

Ca tient pas debout :
- FF est opensource (cherchez les vous-même...)
- 500$ de récompense par faille découverte. (Heu, c'est caché sous le manteau ces 500$/faille ')



Dommage, ça aurait pu avoir un sens...
Le #38283
C'qu'il veutdire, c'est que les sites de sécu proches du milieu opensource (la plupart exceptio nfaite des sites de solutions antivirales) annonce d'abord à Mozilla la faille avant de la publier peu après, au lieu de la publier directement. Ceci accélère donc les MAJ.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]