Doit-on se fier à une étude qui fait de Chrome le navigateur le plus fiable quand celle-ci a été commanditée par… Google ? Voilà les résultats de cette longue – et apparemment indépendante – enquête d’Accuvant sur la sécurité des trois navigateurs Web les plus populaires. Soit Firefox, Internet Explorer (IE) et Chrome. Le moins que l’on puisse dire, c’est qu’Accuvant n’est pas tendre avec le navigateur de la fondation Mozilla, qu’il classe bon dernier, derrière IE 9. On remarquera que l’étude a été menée avec des versions déjà obsolètes des navigateurs : ont été testés Firefox 5, Chrome 12 et 13.
L’originalité de cette étude, qui compte parmi ses auteurs un certain Charlie Miller, vient de la méthode d’analyse : les chercheurs ne se sont pas penchés sur la vulnérabilité des navigateurs face aux attaques, un fait qu’ils ont considéré comme inévitable, mais plutôt quels étaient leurs moyens de lutte quand un attaquant a déjà profité d’une faille. A en croire leurs résultats, Chrome serait donc le plus sûr des trois, suivi de très près par IE 9.
« Google Chrome et Microsoft Internet Explorer implémentent des technologies de contre-mesure de pointe, mais Firefox pèche, en l’absence de JIT hardening (1). Chrome et IE implémente le même jeu de technologies anti-exploitation ; la sécurité des plug-in et l’architecture de sandboxing sont implémentées dans Chrome d’une manière plus complète. Ainsi, Chrome est le navigateur le plus sécurisé contre les attaques », assène Accuvant. Firefox ne gère pas non plus le sandboxing comme ses concurrents, ni la sécurité des plug-in que l’on peut y installer (voir schéma récapitulatif ci-contre).
La fondation Mozilla réagit
Visiblement un peu énervé par les critiques à l’encontre de Firefox, Jonathan Nithingale, directeur de l’ingénierie de Mozilla, a fait publier une mise au point dans plusieurs médias américains, dont Forbes, qui ont fait écho de cette étude.
Sans remettre en question sa crédibilité, Nightingale précise que « Firefox incorpore un grand nombre de technologies pour réduire ou éliminer les menaces de sécurité […] Si le sandboxing est un ajout utile que nous étudions, aucune technologie n’est un remède miracle. Nous investissons dans la sécurité à travers un processus de développement, qui comprend une revue du code en interne et à l’extérieur, des tests constants, une analyse du code qui tourne et une réponse rapide à des problèmes de sécurité dès qu’ils émergent. »
(1) Les compilateurs JIT (just in time) permettent d’accélérer l’exécution du Javacript dans les navigateurs, potentiellement utile à un pirate. Or, Firefox ne comprend pas de dispositif permettant de sécuriser l’exécution de ce code.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
