Firefox et Safari sont des passoires ?

Anthony Nelzin-Santos |
Selon une étude de Cenzic, Firefox serait le navigateur le plus vulnérable aux attaques Web, allant ainsi à l'encontre de l'adage selon lequel son côté open-source et ses multiples contributeurs serait un avantage pour sa sécurité.

Des 3.100 attaques testées par les chercheurs, 8 % affectent les navigateurs. Sur les 300 attaques restantes, 44 % sont passées à travers Firefox. Safari suit de près, avec 35 % de vulnérabilité, un chiffre assez haut du fait de l'inclusion de la déclinaison mobile du navigateur d'Apple, plus sensible aux attaques que la version desktop. On se souvient ainsi que c'était une faille dans Safari pour iPhone qui avait permis les beaux jours du jailbreak dans les premières versions d'iPhone OS. Seules 15 % des failles testées affectent Internet Explorer, Microsoft ayant travaillé sur cet aspect traditionnellement critique de son navigateur, notamment par une flopée de patchs dans Windows. Enfin, Opéra n'est sensible qu'à 6 % des attaques testées, en partie à cause de sa part de marché plus faible selon les auteurs de l'étude.

Des différents types d'attaques, les plus communes sont des injections SQL (25 %), suivies des failles XSS (17 %) ou du hameçonnage (14 %), imputables à de mauvaises conceptions des sites/applications Web, comme cette injection SQL qui avait permis à des pirates de détourner le site d'Orange, ou le « clickjacking » sur Twitter. Seules 8 % des attaques touchent donc directement le navigateur lui-même.
Tags
#Safari #Firefox #sécurité
avatar pim | 
Si il le faut, il est encore temps de ré-ouvrir Internet Explorer 5, celui-ci fonctionnant grâce à rosetta... PS : Cenzic est une succursale de Symantec, qui doit être passablement agacée de tous ces utilisateurs qui passent sous Mac, et qui du même coup ne payent plus en permanence pour un antivirus. Tout est dit !
avatar jsynotte | 
J'aimerais bien savoir le pourcentage de Safari si nous excluons la version mobile ?
avatar Liam128 | 
La force d'IE, c'est surtout sa Sandbox je pense. Désormais, il tourne par défaut dans un processus à droits ultra-limités, pire qu'un compte invité. Ça limite fortement les dégâts possibles. Au pire il plante, mais la possibilité d'attaquer la machine depuis IE devient limitée.
avatar Caramel10 | 
Il faut bien que Cenzic se fasse connaître et vende sa soupe.
avatar iota | 
Salut, de l'injection SQL imputable au navigateur... Faut qu'on m'explique ;) @+ iota
avatar Moonwalker | 
Comme d'habitude, ça répertorie les failles comblées... Bref, faîtes vos mises à jour, de Firefox ou de Safari, et continuez à naviguer avec une sereine prudence.
avatar iota | 
Petit complément à mon précédent message. Je présume qu'il est question d'injection SQL au niveau SQLite (qui est bien embarqué par le navigateur) ? @+ iota
avatar iota | 
Je viens de jeter un oeil à ce rapport, en fait l'article de MacG n'est pas correct ;) Sur les deux premiers trimestres 2009, 3100 vulnérabilités web ont été recensées (elles peuvent servir pour des attaques). C'est vulnérabilités sont de divers types, Injection SQL, vulnérabilité des navigateur, vulnérabilité des serveurs Web (Apache, IIS, etc...), injection de code, etc... Sur ces 3100 vulnérabilités, 8% concernent les navigateurs web (soit 248 failles au total). Et sur ces 8% de failles 44% sont imputables à Firefox, 35% à Safari, 15% à IE et 6% à Opéra. Donc au final, les chercheurs n'ont pas soumis les navigateurs à 3100 attaques différentes et les injections SQL, failles XSS et autres hameçonnages ne sont pas imputables à nos navigateurs... Me voilà rassuré :D @+ iota
avatar Agawa | 
Je comprends mieux avec l'explication de iota. En revanche, depuis quand la robustesse aux attaques d'un logiciel dépend-elle de sa part de marché ? J'avoue que je n'arrive toujours pas à comprendre cette phrase sur Opéra...
avatar Zoidberg | 
Est-ce que ce serait encore un de ces articles qui ne fait que compter les failles recensees par les navigateurs (comme on en a vu passer sur les OS), et se permet encore d'enfoncer les LL en annoncant haut et fort que ce sont ceux qui ont le plus de failles (et en omettant volontairement le fait que justement TOUTES les failles sont devoilées contrairement aux softs proprio ou les editeurs en gardent une partie pour eux)?
avatar makidoko | 
Bon, déjà il s'agit plus d'un rapport (données statistiques non sourcées, car citer les "participants" ne constitue pas une source) que d'une étude appuyée sur une expérimentation potentielle. Enfin, une fois les chiffres présentés (au mépris de la citation des sources, des versions et des configurations), ce rapport présente LA solution : ClickToSecure... un fabuleux produit Cenzic, selon Cenzic lui-même! C'est dire si c'est du sérieux. Et quand bien-même ces chiffres seraient significatifs de la réalité des choses, il reste à évaluer la nocivité des failles. Entre un navigateur qui présenterai 50 failles mineures et un navigateur qui présenterai 1 faille critique, le rapport n'est pas le même. Toujours le problème des chiffres balancés par brassées, on leur fait dire ce que l'on veut, pourvu que ce soit vendeur. Et cette news crée une confusion en mélant failles des applications web (généralement coté serveur...) vulnérabilités des navigateurs (coté client).
avatar iota | 
@makidoko : Oui, c'est un état des lieux, pour montrer aux potentiels clients de Cenzic qu'il existe plein vulnérabilités liées au web et qu'ils ont une solution pour sécuriser tout ça... Marketing quand tu nous tiens ;) Sinon, je suis assez d'accord, faudrait classer les failles par nocivité pour voir quel navigateur serait potentiellement le moins sûr. Mais ce n'est pas l'objectif de ce rapport (qui au final, n'aborde que brièvement la sécurité des navigateurs). @ Agawa Concernant Opéra, j'ajouterai que contrairement à ce qui est indiqué dans l'article de MacG, il n'est fait aucune mention dans l'étude de la faible part de marché de ce navigateur pour justifier les 6% de vulnérabilités qui lui sont imputables. @+ iota
avatar Anonyme (non vérifié) | 
@iota : je suis passé assez rapidement sur le rapport failles côté application/serveur / failles touchant le navigateur, avec seulement une mention en fin d'article. Je l'ai rajouté un peu plus haut pour faire écho à ton commentaire.
avatar iota | 
@Anthony Nelzin Oui j'ai vu ;) Merci d'avoir éclairci tout ça. @+ iota
avatar McAlyster | 
Et si on s'intéressait à faire baisser le nombre d'attaques au lieu de tout dépenser dans les barricades ?
avatar yofx | 
D'un autre coté quand un navigateur respecte moins les normes web que ses concurrent, c'est sur qu'il peu être moins sensible à certaines failles.
avatar lennoyl | 
Salut. Je me posais la même question qu'Agawa. Merci à iota d'avoir éclairci tout ça.
avatar Anonyme (non vérifié) | 
"Des 3.100 attaques testées par les chercheurs, 8 % affectent les navigateurs." et les 82% restant affectent ? l'utilisateur peut être ?
avatar Anonyme (non vérifié) | 
toubaigne a dit : "Des 3.100 attaques testées par les chercheurs, 8 % affectent les navigateurs." et les 82% restant affectent ? l'utilisateur peut être ? Les 82% restant affectent peut-être majoritairement les pièces jointes des mails ?
avatar Hindifarai | 
C'est quoi cet article en mousse? Considérer l'ensemble des failles dites "web", déjà c'est risible... Ensuite extraire les failles propres aux navigateurs et regarder les proportions pour chaque soft. Oui là on atteint les sommets du ridicule. Quid de la gravité de cette soit-disant "faille"? Quid de la rapidité de correction? Quid de la plateforme? Quid du temps d'exposition après découverte? Allez refaites vos stats en prenant en compte ces résultats mais je ne suis pas sur que les fans de safari apprécient. A un moment donné il faut se rendre compte que les news (les commentaires encore ça paraitrait normal) de macge sur la sécu informatique rime à un troll de lycéens sous-informés. Ecrivez sur des sujets que vous maitrisez et sans à chaque fois faire la promo pour des imposteurs. Marrant pendant la faille DNS il y avait beaucoup moins de sujets de sécurité informatique, le sujet était serieux, nécessitait un minimum de connaissances, et la situation mettait en évidence les carrences de cupertino...l'objectivité journalistique certainement. En vous souhaitant une agréable fin de week-end.

CONNEXION UTILISATEUR