Quel est le navigateur Web le plus sécurisé ? Cette polémique a ressurgi ces derniers jours, alimentée par la récente vulnérabilité zero-day découverte dans Internet Explorer de Microsoft. Cette faille de sécurité majeure a été l'objet de nombreux débats et conseils, voire de recommandations encourageant à changer de navigateur. De nombreux experts en sécurité, des dirigeants d'entreprise et même le gouvernement allemand y sont allés de leur avis. On est en néanmoins en droit de s'interroger : ces recommandations sont-elles pertinentes ?
La sécurité ne peut se résumer à des réactions à chaud, liées à des événements précis. Au contraire, la sécurité consiste à penser une stratégie qui minimise l'exposition aux risques sur le long terme. Il ne s'agit pas d'amender sa stratégie pour le plaisir de le faire, au risque de devoir adopter une nouvelle technologie, avec laquelle l'utilisateur n'est pas forcément familière, et qui entraînerait d'autres vulnérabilités, d'ordre humain cette fois-ci.
En 2011, Google Chrome a battu tous les records avec 275 vulnérabilités identifiées, et ce chiffre est le pic d'une tendance haussière initiée dès le jour du lancement de ce navigateur. Mozilla Firefox, après son pic de vulnérabilités en 2009, est en repli avec ses 97 failles de sécurité identifiées en 2011. De son côté, Internet Explorer de Microsoft est sur une tendance baissière depuis 5 ans et n'a affiché que 45 vulnérabilités en 2011, un chiffre équivalent à celui de Safari d'Apple. Bien sûr, ces chiffres bruts sont peu significatifs s'ils ne sont pas pondérés par le niveau de gravité de chaque faille de sécurité. Mais notons tout de même que les statistiques sont en faveur de Microsoft Internet Explorer par rapport à ses deux concurrents directs. Le constat reste le même si les vulnérabilités de type zero-day sont comptabilisées, avec 6 pour Google Chrome, 6 pour Internet Explorer et 4 pour Firefox.
En réalité, nous nous attardons trop sur les vulnérabilités zero-day, comme celle récemment identifié sur Internet Explorer. D'ailleurs la simple dénomination "zero-day" est prompte à alimenter l'inquiétude chez le grand public, qui, d'ailleurs, n'est pas vraiment sûr d'en connaître la réelle signification (pour info, une vulnérabilité est dite zero-day lorsqu'elle ne dispose pas de patch de sécurité). Les entreprises, tout comme les individus, peinent à maintenir à jour leurs navigateurs, en installant les très nombreux patchs de sécurité, bien plus nombreux que les quelques vulnérabilités de type zero-day. D'autre part, les attaques ciblent moins les navigateurs que les plug-ins comme QuickTime, Flash ou Acrobat. Ces plug-ins peuvent être utilisés sur différents navigateurs et versions de navigateurs… et sur différents systèmes d'exploitation. Notons enfin que les attaques ciblent de plus en plus les utilisateurs de navigateurs que les navigateurs eux-mêmes, via des techniques de phishing et d'ingénierie sociale.
Ainsi, ce n'est pas le navigateur, quel qu'il soit, qui assurera la sécurité. La sécurité ne dépend que des utilisateurs.
Chaque navigateur connaît ses propres défauts, vulnérabilités et patchs. Et chaque individu utilisera des outils ou des techniques de sécurité qui dépendent de son degré de familiarité avec le navigateur, la technologie ou les menaces. C'est à ce titre que la protection devient efficace et avec un minimum d'impact sur l'expérience de chaque internaute.
Dans la majorité des cas, il est possible donc de continuer à utiliser son navigateur habituel, mais c'est à l'utilisateur lui-même de le sécuriser. En optant pour un nouveau navigateur qui ne lui est pas familier, il risque de perdre en sécurité.
Enfin, un logiciel de sécurité est aussi nécessaire sur un PC qu'une ceinture de sécurité l'est dans une voiture. Il doit protéger contre les vulnérabilités et les tentatives de piratage, qu'un patch soit disponible ou non.
D'aucuns penseront que défendre le bon vieux Internet Explorer est quelque peu "has been". Mais
parfois, le vintage a quelque chose de sécurisant…
