Mozilla ne changera rien
L'équipe Mozilla en charge de la sécurité a toutefois tiqué sur la méthodologie du palmarès de Bit9, lui reprochant tout d'abord d'avoir éludé les éditeurs qui cachent l'existence de vulnérabilités dans leurs logiciels. Tout le contraire de Mozilla qui applique en termes de sécurité les mêmes recettes d'ouverture que pour le développement de Firefox. Mozilla loue ainsi son processus de sécurité où tout est public et surtout sa grande réactivité : " La réactivité d'un produit face à des bugs et sa capacité à les corriger rapidement et efficacement est une valeur de référence beaucoup plus significative que leur recensement ".
Quant au mécanisme de mise à jour centralisée, certes Firefox ne fournit pas de mises à jour WSUS mais Mozilla souligne que son fureteur intègre un système automatique (activé par défaut) pour l'application des correctifs sans l'intervention de l'utilisateur. Pour preuve, l'adoption à un taux revendiqué de 90 % dans les six jours d'une nouvelle mise à jour après sa publication. On pourra toutefois objecter que l'application de la mise à jour nécessite tout de même la confirmation de l'utilisateur et que le problème tel que présenté par Bit9 reste entier avec un administrateur IT qui n'a pas réellement la main.
" Les vulnérabilités Firefox évoquées par Bit9 sont corrigées depuis bien longtemps, et pour la majorité d'entre elles dans les jours qui ont suivi leur divulgation. C'est la véritable mesure de la sécurité d'une application : les vulnérabilités connues sont-elles corrigées rapidement, les correctifs testés soigneusement et largement déployés ? ", commente Mozilla.
