Polémique autour de la sécurité de Firefox

Arnaud de la Grandière |
L'organisme Secunia a publié les chiffres des failles de sécurité des navigateurs internet découvertes en 2008, et ils sont pour le moins surprenants : 31 failles pour Internet Explorer (de la version 5 à 7), 32 pour Safari, 30 pour Opera, et… 115 pour Firefox! On a d'ailleurs du mal à croire qu'Internet Explorer se hisse à la deuxième place (mais il est vrai que le trio de tête se tient dans un mouchoir de poche).

Secunia a comptabilisé toutes les failles qui ont été publiées, quelle que soit leur gravité, qu'elles aient été corrigées ou non.

La Fondation Mozilla n'a pas tardé à répondre à ce palmarès, par la bouche de Lucas Adamski, responsable de la sécurité, en s'étonnant du manque de sérieux de Secunia : en effet, le rapport comptabilise les failles rendues publiques, et c'est là où la nuance est de taille. Alors que la Fondation Mozilla joue la transparence et publie scrupuleusement toutes les failles qu'elle a identifiées elle-même en interne, on ne peut pas en dire autant de ses compétiteurs propriétaires, qui sont quelque peu plus opaques sur la question.

Lucas Adamski déplore d'autant plus ce biais dans le rapport qu'il ne fait qu'encourager les autres développeurs à poursuivre dans cette voie du secret, alors que la Fondation Mozilla espérait les voir lui emboîter le pas sur sa démarche de transparence.
avatar bugman | 

Mais bien sûr, IE est connu pour être hermétique aux failles ! Un peu de sérieux Secunia.

avatar daphone | 

Voilà tout le problème des analyses, choisir les bon chiffres et les bonnes stats sur lequelles on va construire une analyse, car si on part sur des chiffres incertains et mal renseignés, l'analyse ne peut être que foireuse...

avatar Hurrican | 

Et bien je sais quoi faire des chiffres fournis par Secunia désormais. Avec aussi peu de sérieux, on ne peut pas faire confiance à cet organisme !

avatar Stalmicmac | 

Osez "publier" un article avec des résultats pareils montre le peu de sérieux avec lequel secunia a travaillé.

L'article ne vaut donc même pas la peine d'être lu, ni commenté...

avatar ayumi | 

Stalmicmac a écrit:
~
~ L'article ne vaut donc même pas la peine d'être lu,
~ ni commenté...
~

Pourtant notre constructif et objectif ami Jerry Khan ne manquera pas d'apporter son éclairage tout particulier sur la question.

5... 4... 3...

Ayumi

avatar oomu | 

plus embêtant encore

c'est la transparence du "bugzilla" (la base de bugs de mozilla) aux néophytes et journalistes , ben vi, cette base montre TOUT, et faut lire en détail pour savoir si le bug est grave, critique, trivial, mal classé, sans importance et s'il est une faille de sécurité ou une faille combinée avec autre chose

etc.

bref Apple (on est sur macgen, parlons apple! :) ) refuse de montrer sa base de bugs et comme ça, pas d'histoires, que du mystère... (super quand on est admin système et qu'on doit juger une solution apple ^^, )

avatar vintz72 | 

Le problème est que ce genre d'article fait souvent les gros titres de la presse non spécialisée, lue par des non-spécialistes qui du coup ne risquent pas de combler leur retard !

avatar xtyou | 

Qui vous dit que Microsoft ou Apple ne dévoilent pas toutes les failles connues de leur navigateur?
Ce n'est pas parce que IE a un lourd passif qu'il ne s'est pas amélioré et qu'il est moins secure que ff ou safari.

avatar lukasmars | 

D'autant plus que la sécurité d'un soft s'apprecie aussi sur la rapidité de l'éditeur à corriger les failles et firefox est un modéle en la matiére .
Bref, un exemple qu'on peut faire dire n'importe quoi aux des chiffres si on ne les explique pas .

avatar cobra999 | 

c'est des méchants qui n'aiment pas Firefox ! et pi voilà !

avatar Samanjaro | 

Il manque 6 zéro au 31 bugs de Internet Explorer.

avatar lukasmars | 

"Qui vous dit que Microsoft ou Apple ne dévoilent pas toutes les failles connues de leur navigateur?"

Peut être parce que le dev de firefox le dit non ?

"Les chiffres donnés sont trop bruts et ne sont pas accompagnés des explications qui auraient permis de comprendre réellement la situation. Il donne ainsi une analogie, comparant les rapports d’accidents de la route dans deux villes de taille identique : l’une ne publierait des informations que sur les accidents qui ont fait la une des journaux, et l’autre publierait un rapport complet de tous les accidents, médiatisés ou non.
En clair : ce n’est pas parce Microsoft, Apple et Opera n’en parlent pas que ces failles n’existent pas."

http://www.pcinpact.com/actu/news/50412-mozilla-secunia-firefox-securite-reponse.htm

avatar oomu | 

"Qui vous dit que Microsoft ou Apple ne dévoilent pas toutes les failles connues de leur navigateur?
"

par définition si les failles sont connues, elles sont dévoilées.

Apple ne dévoile RIEN. principe de base. On n'a pas accès à RADAR, leur base de bug.

Microsoft est censé tout dire dans son gigantesque site de support

après.. c'est la théorie du complot si vous voulez, mais je n'y crois pas.

-
Mozilla n'a jamais dit qu'ils arriveraient à écrire du programme sans jamais mettre un bug, mais leur but, et c'est ce qu'ils disent réussir à faire, c'est corriger TRES rapidement tout problème rapporté. C'est sur cela que Mozilla demande d'être jugé.

-
IE s'est amélioré.

Windows VISTA a amené beaucoup de fondations pour qu'IE 7 puisse se blinder.

Le problème, je le dirai jusqu'à ma mort s'il le faut hein, c'est pas la qualité du travail de microsoft, rappelons le, Vista profite de TOUTES les bonnes pratiques et mécanismes les plus sophistiqués pour sécuriser : chemin sécurisé, sandboxing(bac à sable), mise en aléatoire des adresses mémoires des bibliothèques de programmes, virtualisation etc etc, y a TOUT dans Vista. tout.

mais alors ? Ben le problème ce sont les compromis : ActiveX est le gremlins dans le bel édifice. Pour ActiveX, microsoft est obligé d'ouvrir des failles, et donc c'est via ActiveX qu'on détruit la sécurité de Windows et IE7. Pour cela, il faut convaincre l'utilisateur d'accorder crédit à un activeX piégé.

L'interface de windows étant relativement confuse (plein de choix) et Windows ayant de nombreux mécanismes pour déclencher de l'exécution de code, il y a trop de possibilités de tromper l'utilisateur. Utilisateur qui a pas que ça à foutre de bien comprendre les "zones de sécurité IE", les "prompt UAC", les "certificats SSL ha mais il est EVO donc le créateur est bien certifié alors que sans EVO, ben non, lol"

etc.

avatar Jerry Khan | 

ayumi,

On attend encore dans l'autre news que tu uses d'arguments constructifs.

Parce que la .... c'est le vide sidéral (comme d'hab).

avatar domd | 

Sinon, on peut lire les stats comme ça :
http://www.sebsauvage.net/rhaa/

avatar NikonosV | 

si à la place des pots de vin de Microsoft pour Secunia
on avait les réelles infos, ça serait plus crédible !
car Firefox, ils n'ont pas les moyens de payer Secunia !

avatar NikonosV | 

à moin que que ce soit comme sur Mac, on compte plus de correctif que Windows
mais y a moins d'emmerde, aucun virus sur mac !

avatar bugman | 

@ domd : Effectivement, cela me semble beaucoup plus juste ! (sympa le blog)

CONNEXION UTILISATEUR