Benoitbisson.com

La firme de sécurité informatique Symantec a changé sa façon d’évaluer la vulnérabilité des fureteurs Web et, selon le nouveau mode d’évaluation, Firefox s’avère nettement moins vulnérable aux attaques et intrusions de hackers qu’Internet Explorer.

Le mode d’évaluation de Symantec a été remis en question en septembre dernier, alors que la publication d’un rapport semi-annuel de sécurité révélait que Firefox était plus vulnérable qu’Internet Explorer. Le rapport souleva un tollé de la part des utilisateurs et des développeurs de Firefox. En effet, ils reprochaient à Symantec de baser son rapport uniquement sur les failles de sécurité confirmées par le fabricant. Or, dans les faits, Microsoft en confirme nettement moins que Firefox.

Dans la nouvelle édition de son rapport, Symantec publie le compte des vulnérabilités de chacun des fureteurs selon deux catégories plutôt qu’une: les vulnérabilités confirmées par le fabricant et une liste combinant les vulnérabilités confirmées et non-confirmées. Cette nouvelle formule met Internet Explorer en avance dans une catégorie et Firefox en avance dans l’autre. Voyons un peu la différence.

Au cours des derniers 6 mois de 2005, Microsoft a confirmé 12 vulnérabilités d’Internet Explorer, soit un peu moins que les 14 confirmées pour le premier semestre de 2005. Firefox, pour sa part, a confirmé 13 failles, soit une de plus que Microsoft, mais beaucoup moins que les 27 rapportées au premier semestre.

Si l’on se fie uniquement à ces chiffres, Firefox semble nettement plus vulnérable qu’Internet Explorer: en 2005, 26 failles confirmées par Microsoft pour Internet Explorer et 40 failles pour Firefox.

Le hic avec ces chiffres, c’est qu’ils ne tiennent pas compte des méthodes de travail des fabricants des fureteurs. Comme le souligne Oliver Friedrichs, directeur senior du Security Response Group de Symantec, «en source libre, plus de failles seront reconnues à cause de la transparence du développement», ce qui explique pour beaucoup la différence entre les failles des deux fureteurs.

Selon la nouvelle méthodologie, toutes les failles sont combinées dans le compte, tant celles confirmées par le fabriquant que celles rendues publiques mais pas nécessairement confirmées par le fabricant. Le résultat? 17 failles pour Firefox, 24 failles pour Internet Explorer.

En bout de ligne, quand on regarde ces chiffres, on voit une différence de 4 failles non-confirmées - mais rapportées - pour Firefox, et une différence de 12 failles non-confirmées - mais rapportées - pour Internet Explorer.

Ça change quoi dans la vie de monsieur et madame Tout-le-monde? Simplement le fait d’avoir l’heure juste quant à la sécurité des fureteurs et, peut-être, un incitatif à utiliser Firefox plutôt qu’Internet Explorer. En effet, en prenant connaissance de la seconde liste de Symantec, on ne peut que constater que c’est du côté de Microsoft que l’on met le plus de temps à confirmer une faille et à émettre une patch pour colmater celle-ci.

La sécurité, quand on y pense bien, c’est avant tout une question d’humilité, l’humilité d’admettre une erreur et de la corriger, de la façon la plus simple et la plus pratique possible pour les utilisateurs. À vous de juger qui le fait le mieux.