Forte progression du nombre de bugs de navigateurs Web

25 septembre 2006 - source Lemondeinformatique.fr

«Il n'y a pas de navigateur Web sûr». C'est la conclusion sans appel de Vincent Weafer, directeur senior du service Security Response de Symantec. Le rapport semestriel de la sécurité sur Internet de l'éditeur lui donne raison : au cours du premier semestre de l'année, les pirates ont trouvé 47 bugs dans les navigateurs de la fondation Mozilla contre 38 dans Internet Explorer, et 12 dans Safari. Au cours du premier semestre 2005, seules 17 failles avaient été découvertes dans les navigateurs de la fondation Mozilla, 25 dans celui de Microsoft et 6 dans celui d'Apple. Face à ce palmarès peu réjouissant, Opera fait figure de bon élève avec seulement 7 failles identifiées au premier semestre 2006, contre 9 un an plus tôt.

Mais ces chiffres méritent d'être observés avec précautions : Symantec attribue une partie de progression du nombre de failles découverte au fait que des entreprises telles que 3Com, Tipping Point et iDefense rémunèrent ce type d'information. Vincent Weafer évoque aussi un marché noir fleurissant pour ces données. Marc Maiffret, directeur technique de eEye Digital Security, relève en outre dans un entretien accordé à IDG News Service que les navigateurs Internet font une cible de choix pour les internautes malveillants : « tout le monde a compris qu'il est plus facile de voler des données aux entreprises et aux consommateurs en visant les applications du poste de travail plutôt que les failles des serveurs. »

Dans son rapport, Symantec souligne que les concurrents d'Internet Explorer sont loin d'être aussi protégés des velléités des pirates qu'on ne pourrait le penser : selon l'éditeur, 31% des attaques identifiées au cours du premier semestre ont visé plus d'un navigateur; 20% des attaques de la période étaient destinées à Firefox. Mais Symantec accorde à Firefox le bénéfice de la réactivité, avec des bugs corrigés dans les 24h suivant leur divulgation. Opera arrive en seconde position avec un délai moyen de correction de 48h. Il est suivi de Safari avec un délai moyen de 5 jours. Internet Explorer arrive bon dernier avec une attente moyenne de 9 jours pour obtenir la correction d'une faille.