Depuis quelques jours, on voit fleurir sur la toile une foule d'articles évoquant au combien le navigateur Chrome de Google est le moins sécurisé du monde. Des articles qui font écho à une étude menée par le fournisseur de VPN Atlas VPN qui rapporte ainsi que Google Chrome détient le (triste) record du plus grand nombre de failles de sécurité découvertes en 2022.
Si sur le fond l'affirmation est juste, dans les faits, cela n'implique pas forcément que Chrome est actuellement le moins sécurisé des navigateurs disponibles sur le marché et il faut temporiser les conclusions un peu trop hâtives et sans nuances...
Des failles de sécurité par centaines...
Le bilan tiré par Atlas VPN évoque ainsi le fait que Google Chrome est le navigateur le plus sujet aux failles de sécurité avec 303 découvertes cette année et 3159 failles découvertes en tout. Derrière, on retrouve Firefox de Mozilla avec 117 failles repérées cette année puis Microsoft Edge avec 103 failles, Safari avec 26 failles et Opera avec zéro faille repérée... Des données partagées par VulDB qui recense les vulnérabilités découvertes dans une foule de logiciels.
Mais les conclusions ne font aucune nuance à quelque niveau qu'il soit.
...qui sont tout à fait normales
Première nuance à prendre en compte : toutes les failles ne sont pas aussi importantes les unes que les autres. Certaines failles recensées ne sont ainsi que des erreurs de configuration, elles ne sont pas véritablement exploitables par des pirates et ces dernières sont patchées assez facilement et sans urgence au fil des mises à jour prévues par l'éditeur. D'autres sont bien plus graves surtout quand elles sont activement exploitées par les hackers. Parmi ces failles, on note également divers niveaux de dangerosité, avec en plus des failles "Zéro Day" encore non répertoriées ou liées à d'autres failles et qui nécessitent une attention particulière et une sécurisation rapide.
Cette nuance sur la dangerosité des failles est pourtant bien connue, elle est même ramenée à un système de notation mis en place par le département américain du commerce depuis plusieurs années avec une échelle de 0 à 10. Il s'agit du classement CVSS (Common Vulnerabilité Scoring System), totalement exempt de l'analyse fournie par Atlas VPN qui se veut pourtant du jour au lendemain expert autoproclamée en sécurité...
Plus populaire = plus de découvertes de failles
L'autre nuance à prendre en compte dans le bilan annoncé est la popularité des navigateurs.
Actuellement le navigateur Google Chrome s'octroie 77,03% de parts de marché des navigateurs. Le logiciel de Google écrase littéralement la concurrence et il est normal que le navigateur soit ainsi le plus ciblé par les attaques, mais également le plus épié par les développeurs à la recherche de failles, notamment également parce que Google propose un programme Bug Bounty particulièrement alléchant : la firme paie cher pour la découverte de failles non répertoriées.
À titre de comparaison, Opera ne représente que 2,43% de parts de marché, le logiciel est donc peu intéressant pour les pirates étant donné qu'une attaque ciblant le navigateur ne toucherait qu'un parc limité d'utilisateurs.
Autre point important à prendre en compte : Chrome s'appuie sur le logiciel libre Chromium et chacun peut ainsi aller fourrer son nez dans les entrailles du logiciel. Il est donc logique de voir les failles apparaitre plus régulièrement, l'intérêt étant justement de les mettre en avant pour permettre de les corriger rapidement.
Des failles oui, mais toutes corrigées en temps et en heure
Enfin et dernier point, savoir que plus de 300 failles ont été découvertes sur Chrome depuis le début de l'année est une chose. Reste que ces 300 failles ont également été corrigées dans les jours qui suivent leur annonce, ce qui n'est pas le cas de tous les navigateurs. Alors certes, Chrome a bien des défauts et il est toujours bon de tirer à boulets rouges sur Google, néanmoins l'analyse d'AtlasVPN est bien réductrice.
Notons également que ce genre d'analyse n'a pas vocation, contrairement à ce que prétend Atlas VPN, à véritablement éclairer le public, mais elle sert surtout des intérêts propres au service de VPN. Puisque la majorité des utilisateurs utilisent Chrome, il est plus facile de critiquer le navigateur tout en proposant des solutions de VPN à ces derniers pour corriger le tir...
