ou INSCRIVEZ-VOUS Mot de passe oublié ?
Publicité

Mozilla : Tristan Nitot répond aux analyses de Symantec

Analyse d'analyse de statistiques

Récemment, Symantec a publié plusieurs analyses parlant, entre autres, des navigateurs de Mozilla. En dehors du fait que l’éditeur de solutions de sécurité insistait sur le fait qu’aucun navigateur n’était réellement sûr, il mettait également en avant que les navigateurs de Mozilla avaient subi plus de failles qu’Internet Explorer.

Pour connaitre le point de vue de Mozilla face à cette analyse, nous avons demandé à Tristan Nitot, directeur de Mozilla Europe, de nous donner son point de vue sur la question. Voici donc sa réponse :

« J'ai lu le Symantec Internet Security Threat Report (10° édition).

Ce que j'ai pu y lire m'a fait plaisir, dans la mesure où cela confirme le leadership de Mozilla en termes de sécurité des navigateurs. Par ailleurs, la méthodologie de Symantec s'est améliorée. Elle n'est pas encore parfaite, mais elle donne une idée plus précise de la réalité.

En particulier, page 14, Symantec écrit (traduction par mes soins) : « Pour la première fois, (...) Symantec mesure la fenêtre d'exposition des navigateurs Web ». En effet, les fois précédentes, Symantec se contentait de compter les rustines de sécurité déclarées par les éditeurs de navigateurs. Cette fois-ci, ils utilisent une méthode qui révèle mieux le risque couru par les utilisateurs, à savoir le temps pendant lequel ils ne sont plus en sécurité. C'est le délai qui s'écoule entre la publication d'un trou de sécurité sur Internet et sa correction dans une mise à jour du navigateur. Des quatre navigateurs évalués, Firefox est le meilleur de tous, et le projet Mozilla démontre sa capacité à sortir des correctifs de sécurité (et à les déployer avec la mise à jour automatique) en un temps record.

Il reste toutefois des choses à améliorer dans le rapport de Symantec. En particulier, il faudrait mettre un coefficient sur la "criticité" (en anglais, "criticality") ou gravité des problèmes de sécurité. Lors d'une première lecture du rapport, il ne m'a pas été possible de voir si cela avait été pris en compte ou pas.

De plus, le comptage des failles de sécurité est un moyen très imparfait pour mesurer les risques de sécurité. En effet, chez Mozilla, de par notre ouverture et le fait que notre code soit public, tous les correctifs de sécurité sont forcément déclarés, même si ce sont des améliorations qui proviennent de notre propre initiative, par opposition aux bogues trouvés par des chercheurs en sécurité tiers. A l'inverse, les autres éditeurs de navigateurs, et Microsoft en tête, peuvent corriger silencieusement des failles de sécurité qu'ils auront découvertes eux-mêmes. Ces failles ne seront pas comptées par des rapports comme celui de Symantec : le code source étant fermé, il n'est pas possible de savoir ce qui est fait par ces éditeurs. Aussi, le rapport de Symantec, par essence, est favorable aux logiciels propriétaires. Malgré cela, le rapport reste très favorable à Firefox.

Enfin, Mozilla a intensifié ses recherches de défauts dans son code source. Utilisant déjà l'aide de milliers de développeurs dont la plupart sont bénévoles, nous avons eu recours à des méthodes innovantes, dont l'utilisation de Coverity Prevent. C'est une des raisons pour lesquelles le nombre de correctifs a augmenté ces derniers mois, corrigeant de façon préventive d'éventuels bogues, avant qu'ils ne soient découverts par des personnes mal intentionnées. Si des éditeurs de navigateurs propriétaires utilisaient de tels outils, les bogues ainsi corrigés ne seraient pas comptabilisés par Symantec, du fait que le code n'est pas publié.

En conclusion, le rapport Symantec a progressé en crédibilité cette année, et il confirme que Firefox est toujours le plus efficace pour ce qui est la protection de ses utilisateurs, grâce à la sortie régulière de nouvelles versions. Cela dit, la recommandation de Symantec est toujours d'actualité : "de façon à se protéger contre les attaques envers les navigateurs Web, Symantec recommande aux utilisateurs et administrateurs de mettre à jour leurs navigateurs pour disposer de la toute dernière version et de ses correctifs".


PS : j'encourage les lecteurs se posant des questions sur le nombre de bogues résolus à relire mon billet intitulé "Les Ripoux et la sécurité informatique" »
le 26 septembre 2006 à 18:02 (28 024 lectures)