Navigateurs Web et sécurité : faire le bon choix et comparer ce qui est comparable !
Sur la sécurité du navigateur, il est commun d'entendre tout et son contraire. Les afficionados du navigateur X ne seront jamais à cours d'arguments pour critiquer les navigateurs Y ou Z.
La seule chose sur laquelle tout le monde devrait être d'accord, c'est qu'il faut absolument utiliser un navigateur récent car ce sont les dernières générations qui disposent des mécanismes de sécurité les plus efficaces pour contrer les (trop nombreuses) menaces venant du Web.
Donc laissez Internet Explorer 6.0 aux collectionneurs (ne suivez pas l’exemple du gouvernement britannique cf. https://tinyurl.com/3axd3tw ) et migrez vers une version plus récente (ou un navigateur alternatif récent). Ne vous obstinez pas à rester sur une version qui finira par ne plus être supportée (fin du support d’Internet Explorer 6 en 2014). Il faut cesser la politique de l’autruche et réfléchir dès aujourd’hui à la migration du navigateur (plus d’informations sur ce sujet : https://blogs.msdn.com/b/iefrance/archive/2010/07/28/ressources-du-livemeeting-ie8-pour-l-entreprise.aspx). En plus, ce sera toujours une partie de votre projet de migration du système d’exploitation du poste client qui sera faite (IE 8 étant le navigateur par défaut sur Windows 7).
Il est toujours possible de faire une liste exhaustive des différents mécanismes de sécurité de tel ou tel navigateur sachant qu'au final, quand on compare ce qui est comparable (des navigateurs sortis dans une même période), les différences sont assez minimes.
Voici donc une liste (non exhaustive) de documents :
-> Mécanismes de sécurité d'Internet Explorer 8.0
Présentation de la sécurité Internet Explorer 8.0
https://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspxNote : Internet Explorer 8 est aujourd'hui le seul navigateur sous Windows Vista & Windows 7 à disposer d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>WindowsTempTemporary Internet Files.
A Safer Online Experience
https://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDFLe Filtre SmartScreen dans Internet Explorer 8 : https://blogs.technet.com/b/stanislas/archive/2009/11/13/filtre-smartscreen-dans-internet-explorer-8-0-partie-2-parametrage-via-gpo.aspx
-> Mécanismes de sécurité de Firefox
https://www.mozilla.com/en-US/firefox/features/#security
https://www.mozilla.org/security/
https://blog.mozilla.com/security/
-> Mécanismes de sécurité de Google Chrome
https://sites.google.com/a/chromium.org/dev/Home/chromium-security
https://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95572
https://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
https://www.google.com/support/chrome/bin/topic.py?hl=en&topic=14666
Concernant les mécanismes de protection anti-phishing voire antimalware, j’ai écrit un article résumant les mécanismes disponibles dans Internet Explorer 8, Mozilla Firefox et Google Chrome : https://blogs.technet.com/b/stanislas/archive/2010/03/23/navigateurs-web-tour-d-horizon-des-m-canismes-de-protection-anti-phishing-et-anti-malware.aspx
Beaucoup de personnes argumentent (ou ont argumentées) que la sécurité d'un navigateur se mesure au nombre de vulnérabilités découvertes ou au nombre de bulletin de sécurité ou encore au nombre de failles non corrigées...
Même si c'est un indicateur, cela ne peut pas refléter de manière sûre la qualité de tel ou tel produit. En effet, la popularité d'un navigateur implique forcément un intérêt accru des chercheurs en sécurité (mais aussi de certains cybercriminels) qui vont investir plus de moyens pour essayer de découvrir la présence de vulnérabilités. Un navigateur utilisé par 1000 personnes peut donc apparaitre comme sans vulnérabilités connues si personne (à l'exception de ses développeurs) n'a passé du temps à l'étudier.
Tout logiciel peut avoir des vulnérabilités ou des erreurs dans son code car à l'origine de celui-ci, il y a un développeur qui reste avant tout un humain pouvant faire des erreurs.
Pour déterminer et comparer le nombre de vulnérabilités ou de bulletins de sécurité d'un navigateur, il est possible de se baser sur les informations présentées sur le site de l'éditeur. Dans le cas des trois navigateurs les plus utilisés (Microsoft Internet Explorer, Mozilla Firefox & Google Chrome), les informations sont aux adresses suivantes :
Internet Explorer : https://www.microsoft.com/technet/security/current.aspx (dans le menu déroulant, choisir la version d'IE concernée)
Mozilla Firefox : https://www.mozilla.org/security/known-vulnerabilities/
Google Chrome / Chromium : https://code.google.com/p/chromium/issues/list?can=1&q=status:fixed%20label:security&sort=-id&colspec=ID%20Stars%20Pri%20Area%20Feature%20Type%20Status%20Summary%20Modified%20Owner%20Mstone%20OS (Je suis preneur si quelqu'un a une meilleure adresse)
Reste que là encore, la méfiance vis à vis des éditeurs poussent de nombreuses personnes à argumenter que toutes les vulnérabilités ne sont pas déclarées officiellement par l'éditeur ou pas comptabilisées correctement. On entre ici dans un second débat qui est l'utilisation du nombre de vulnérabilités versus le nombre de bulletins de sécurité (un bulletin pouvant couvrir plusieurs vulnérabilités).
Pour être indépendant des données officielles de chaque éditeur, il est également possible d'utiliser les données fournies par des sociétés ou sites web indépendants qui gèrent eux-mêmes les vulnérabilités ou avis de sécurité. Parmi ces sites, un des plus complets est Secunia à partir duquel je vais extraire les données concernant nos trois navigateurs.
Note : certaines informations de Secunia peuvent et sont parfois contestées (par les éditeurs et/ou les experts en sécurité).
Le graphique précédent (mise à jour à la date du 09 août 2010) dans lequel les navigateurs sont classés par ordre chronologique (du plus ancien IE6 au plus récent Google Chrome 5) permet très bien de voir qu’il ne faut vraiment pas comparer des navigateurs de générations différentes :-)
Dans le détail nous avons donc les informations suivantes:
Internet Explorer 6.0 (supporté par son éditeur) : https://secunia.com/advisories/product/11/?task=statistics
Sortie avec XP en octobre 2001 (XPSP2 = aout 2004)
146 Avis de sécurité de Secunia
200 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=11
Firefox 1.x (n’est plus supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/4227/?task=statistics
Firefox 1.0.x sorti le 9 novembre 2004
45 Avis de sécurité de Secunia
209 Vulnérabilités
Internet Explorer 7.0 (supporté par son éditeur) : https://secunia.com/advisories/product/12366/?task=statistics
Sortie avec Vista le 19 octobre 2006 (même période que Firefox 2.0)
45 Avis de sécurité de Secunia
123 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=12366
Firefox 2.x (n’est plus supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/12434/?task=statistics
Firefox 2.0.0.x sorti le 24 octobre 2006
29 Avis de sécurité de Secunia
154 Vulnérabilités
graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=12434
Firefox 3.0.x (n’est plus supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/19089/?task=statistics
Firefox 3.0.0.x sorti le 17 juin 2008
24 Avis de sécurité de Secunia
161 Vulnérabilités
graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=19089
Internet Explorer 8.0 (supporté par son éditeur) : https://secunia.com/advisories/product/21625/?task=statistics
Sortie le 19 mars 2009
Sortie avec Windows 7 en aout 2009
13 Avis de sécurité de Secunia
49 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=21625
Google Chrome 2.X (supporté ou pas ? je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/25469/
Sortie : 21 mai 2009
5 Avis de sécurité de Secunia
10 Vulnérabilités
Non patché (pour Secunia) : 20% (1 sur 5)
Firefox 3.5.x (supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/25800/?task=statistics
Sortie Firefox 3.5.0.x le 30 juin 2009
12 Avis de sécurité de Secunia
96 Vulnérabilités
Non patché (pour Secunia) : 0%
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=25800
Google Chrome 3.x (supporté ou pas ? je cherche toujours le document de référence): https://secunia.com/advisories/product/25720/
Sortie : 15 septembre 2009
5 Avis de sécurité de Secunia
16 Vulnérabilités
Firefox 3.6.x (supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/28698/
Sortie Firefox 3.6.x le 21 janvier 2010
6 Avis de sécurité de Secunia
46 Vulnérabilités
Google Chrome 4.x (supporté ou pas ? je cherche toujours le document de référence) : https://secunia.com/advisories/product/28713/
Sortie : 25 janvier 2010
6 Avis de sécurité de Secunia
35 Vulnérabilités
Google Chrome 5.x (supporté par son éditeur) : https://secunia.com/advisories/product/30134/
Sortie : 25 mai 2010
4 Avis de sécurité de Secunia
30 Vulnérabilités
Point complémentaire important à souligner en terme de sécurité, c’est la gestion des composants additionnels au navigateur tels que Acrobat Flash, Acrobat Reader, Apple Quicktime, Realtime…. Ces composants deviennent aujourd’hui une cible intéressante et un vecteur de menaces non négligeable pour les Systèmes d’Information. Si on se réfère au Rapport Microsoft sur les données de sécurité Volume 8 (juillet à décembre 2009), on constate à quel point les plug-ins aux navigateurs sont une cible de prédilection pour infecter les ordinateurs.
Note : Le rapport est téléchargeable en français ou en anglais à l'adresse suivante : https://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2c4938a0-4d64-4c65-b951-754f4d1af0b5
Adobe Acrobat 8.x : https://secunia.com/advisories/product/12256/
13 avis de sécurité de Secunia
132 vulnérabilités
Adobe Acrobat 9.x : https://secunia.com/advisories/product/20492/
10 avis de sécurité de Secunia
114 vulnérabilités
Acrobat Flash Player 9.x : https://secunia.com/advisories/product/11901/
11 avis de sécurité de Secunia
80 vulnérabilités
Acrobat Flash Player 10.x : https://secunia.com/advisories/product/20166/
6 avis de sécurité de Secunia
56 vulnérabilités
Il convient donc de traiter ces composants avec la même rigueur (voire plus encore) que le navigateur en terme de gestion des mises à jour.
A noter : concernant Adobe, la signature d'un accord avec Microsoft afin de mettre en oeuvre une collaboration plus efficace destinée à mieux protéger les utilisateurs contre les menaces en ligne
Microsoft, Adobe Collaborate to Protect Against Online Threats
https://www.microsoft.com/presspass/press/2010/jul10/07-28MSBlackhatPR.mspx
Et pour ceux qui n’ont pas (encore) lancé un chantier pour la gestion des mises à jours dans leur entreprise, je vous encourage quelques lectures sur le sujet :-)
Comprendre la gestion des mises à jour
https://technet.microsoft.com/fr-fr/updatemanagement/bb245735.aspxDe la difficulté de la gestion des mises à jour de sécurité
https://blogs.technet.com/b/pascals/archive/2007/11/16/de-la-difficult-de-la-gestion-des-mises-jour-de-s-curit.aspx
Tags: Mozilla+Firefox, Google+Chrome, IE+8