Les failles sont comblées plus rapidement sur Chrome que sur Safari

Félix Cattafesta |

Apple est-elle à la traîne pour la résolution des failles de sécurité ? C'est ce que confirme l'équipe « Project 0 » de Google, qui a présenté un rapport donnant quelques statistiques sur les failles et le temps de réponse des développeurs dans différents domaines. Cette équipe de Google est chargée de trouver les problèmes de sécurité dans les produits de l'entreprise ainsi que dans ceux d'autres fournisseurs.

Durée moyenne entre la remontée d'un bug et la sortie publique d'un correctif pour différents navigateurs.

La tendance est à l'amélioration : en 2021, les développeurs ont mis en moyenne 52 jours pour corriger les failles remontées. La cadence s'accélère, car le secteur tournait autour des 80 jours en 2018. La quasi-totalité des grands fournisseurs interviennent en moins de 90 jours, et Apple le fait en moyenne en 69 jours (tous OS confondus).

Pour ce qui est des navigateurs, Chrome est actuellement le plus rapide à voir ses failles corrigées par rapport à Safari et Firefox. Il y a en moyenne un délai de 30 jours entre le signalement du bug et la sortie d'un correctif disponible pour le grand public. Chez Mozilla, la moyenne se situe à 38 jours. En comparaison, WebKit se traîne : le temps moyen relevé est de 73 jours ! De quoi laisser une belle ouverture aux potentiels attaquants, qui ont donc deux fois plus de temps sur Safari pour exploiter les failles.

C'est un gros problème, et encore plus sur iOS où seule l'API WebKit est autorisée. Elle est la base de tous les navigateurs de l'App Store (Chrome, Firefox), et cette lenteur pénalise tout le monde. Si Apple corrige les failles rapidement, les utilisateurs doivent attendre longtemps avant de pouvoir télécharger les correctifs sur leurs téléphones. Tout cela est lié à la façon dont Apple gère sa partie logicielle : les correctifs de WebKit n'arrivent qu'à chaque mise à jour d'iOS et de macOS. En comparaison, Google peut directement mettre ses applications à jour via Google Play.


avatar Glop0606 | 

C'est certainement vrai, et même Safari n'est certainement pas le meilleur navigateur mais il reste pour moi celui qui est le plus agréable à utiliser notamment grâce aux mesures pour "protéger" la vie privée.

Chrome sans bloqueurs de pubs/antitracker est juste une expérience traumatisante ;)

avatar stefhan | 

@Glop0606

Je ne peux que plussoyer.

avatar Yves SG | 

En terme de compatibilité, chrome est pire que Safari, le meilleur étant de mon expérience Firefox.
Sans compter la consommation de ressources titanesque, et le parcours du combattant pour le désinstaller…
https://chromeisbad.com

avatar armandgz123 | 

@Yves SG

Même expérience pour moi

avatar cecile_aelita | 

Article très intéressant 🙂, mais ce n’est pas ça qui me fera quitter safari 😊

avatar cedo | 

Sauf que Chrome sur Mac consomme beaucoup de ressources et est mal optimisé y’a qu’à voir YouTube…

avatar Sgt. Pepper | 

Google 😈 compare des choux et des carottes 🤥

Les bugs sont plus nombreux chez Chrome, différents et quid de la criticité 🥳

Et puis quid du % de navigateurs a jour avec le correctif ? Car si par manque de confiance , l’utilisateur ne fait pas la mise à jour , a quoi cela sert ?

Bref , constat simpliste…

avatar Rajindael | 

@Sgt. Pepper

De ce que j’ai constaté, Chrome te claque un parpaing toutes les 30 min qd une MAJ est dispo et que tu l’ignore trop longtemps, de plus, l’applique seul en cas de relance de l’appli. (Du moins sur Windows, j’en ai pas un usage suffisant sur mon mac)

Je pense que la stratégie est efficace. Pour le coup Apple pourrait peut être s’en inspirer, car les navigateurs sont devenu des briques archi critiques.

avatar gmart | 

L’enregistrement des data par Chrome/Google est-il considéré comme une faille de Chrome?
Si oui, cette faille n’est pas comblée…

avatar YetOneOtherGit | 

Un plaidoyer pro domo quand même, difficile d’être juge et partie.

Les chiffres sont peut-être exacts mais ceux d’un organisme indépendant le seraient sans doute bien plus.

Google instrumentalise très joliment sa com sur les enjeux de sécurité depuis quelques temps entre autres avec Project 0 qui permet à moindre frais de pointer les pb des concurrents et de braquer les projecteurs sur d’autres sujets que ceux de la vie privée 👏

Wait&See 👀

avatar vincentn | 

Communication organisée et plaidoyer pro domo effectivement, mais avec un fait non contestable, relevé par l'article.
Si l'on peut railler le nombre de mises à jour est l'itération de Chrome (et maintenant aussi Firefox), force est de reconnaitre que l'immense majorité des mises à jour publiques concernant Safari/WebKit n'arrivent qu'avec les mises à jour système.
Le jour ou Apple décorelera réellement ses mises à jour d'applications de ses mises à jour système — encore plus prégnant sur ses plateformes mobiles — ce sera un grand pas est bénéfice pour les usagers que nous sommes.

avatar fte | 

Quelle surprise ! Non en fait.

avatar marc_os | 

> Quelle surprise ! Non en fait

En effet :
Google est juge et partie...

avatar debione | 

Si je regarde d'un point de vue purement chiffre, qu'est-ce que les gens utilisent encore Chrome ou Safari quand on voit les gruyères que c'est comparé à Firefox: Safari à 3,5X plus de failles et Chrome 8.
Si je me mets en mode chafouin je me dis: Le nombre de faille dépendent du pognon offert aux découvreurs.

Bon je vais continuer avec Firefox, il a l'air tout autant bien que les deux mastodontes.

avatar Yves SG | 

@debione

Oui enfin Firefox est loin d’être parfait au niveau sécurité : l’ensemble des identifiants et mots de passe enregistrés sont accessibles en clair sans aucune protection 😂

avatar fte | 

@debione

"Si je me mets en mode chafouin je me dis: Le nombre de faille dépendent du pognon offert aux découvreurs."

Et tu aurais raison au moins en partie. Ce qui se sait et ce dont on parle c’est ce qui a été trouvé. Et dans le cas de Google, fixé.

avatar thedarkmind | 

Finalement, Firefox devrait rester un navigateur de choix sur Desktop. Et sa gestion des caches est bien meilleure que celle de Chrome, où il est fréquent de ne pas arriver à le purger réellement. Un enfer pour le développement.

CONNEXION UTILISATEUR