Discussion :

[Idelways]

IE plus sûr que Firefox, Chrome est le navigateur le plus sécurisé
D'après un comparatif d'Accuvant Labs



Accuvant Labs s'est confié la délicate tâche de comparer les principaux navigateurs sur le terrain miné de la sécurité.

Dans un rapport fouillé de 102 pages, la firme de sécurité compare la capacité des navigateurs à atténuer les exploits, détecter les liens malicieux et autres critères de sécurité entre les occupants du Top 3 des navigateurs (93 % au total des parts de marché).

Chrome s'en sort sans surprise fort bien, suivi de près par Microsoft Internet Explorer. À la traîne, le navigateur open source Firefox arrive troisième, faisant essentiellement les frais de sa non-implémentation de protection par Sandbox (bac à sable). Un critère qui devient un standard de cette industrie, mais ne convainc pas la fondation Mozilla en tant que tel.

L'étude a été commanditée par Google, mais ses six auteurs se défendent de toute partialité. Ils revendiquent une autonomie totale sur le choix des critères utilisés et fournissent en plus de l'étude, 20 Mo de données brutes et outils permettant à quiconque d'apprécier leur méthodologie.

Les versions des navigateurs testées étaient :

• Google Chrome versions 12 (12.0.724.122) et 13 (13.0.782.218)
• Internet Explorer 9 (9.0.8112.16421)
• Firefox 5 (5.0.1)

L'étude suit une approche quantitative par couche, comparant les navigateurs en tenant compte de l'architecture de sécurité et des techniques anti-exploits. « Cette méthodologie requiert une plus profonde expertise technique que l'analyse statistique des vulnérabilités, et ouvre aussi une perspective plus précise sur la sécurité de chaque navigateur », estiment les chercheurs.

Les chercheurs ont analysé la capacité d'un code malicieux à lire/écrire des fichiers, et exécuter 13 autres actions systèmes. Chrome réussit à les bloquer toutes, à l’exception d’une seule action, et d’une autre bloquée partiellement. Internet Explorer n'arrive à stopper entièrement que deux actions alors que Firefox n'en résiste complètement à aucune.



Firefox s'incline et Chrome brille aussi en matière de compilation juste à temps JIT Hardening (une technique de compilation JavaScript imprédictible pour compliquer la tâche des pirates). Chrome se distingue aussi en matière de sécurisation des plug-ins bordés par des limitations strictes, contrairement aux deux autres navigateurs, notamment Internet Explorer chez lequel les extensions jouissent de privilèges énormes pouvant aller jusqu'à la création de processus.



Bien qu'ils les passent aussi en revue, les auteurs de cette étude estiment que certains critères habituellement avancés manquent de fiabilité. C'est le cas par exemple, d'après Accuvant, du nombre de vulnérabilités corrigées ou la rapidité de leur correction.

« Alors nous avons décidé : concentrons-nous sur la technologie d'atténuation des exploits pour montrer comment ils résistent aux attaquants au moment où ces derniers découvrent une vulnérabilité », expliquent les chercheurs.


Consulter le rapport de l'étude (format PDF)

Source : Accuvant

Et vous ?

Que pensez-vous de cette étude ? Et de sa méthodologie ?
Quel est d'après-vous le navigateur le plus sécurisé ?

[Neko]

Dommage, j'aurais bien aimé avoir les résultats d'Opera

[wax78]

De même, n'utilisant quasi exclusivement que celui ci.

[pcdwarf]

En faisant des javascript (certes un peu très bourrins mais algorithmiquement corrects) j'arrive a planter firefox et IE en 3 minutes sans le vouloir alors que chrome tourne nickel.
J'imagine que si ça crashe c'est qu'il manque des vérifications quelque part.... donc failles....

Remarque : Depuis firefox8, ça s'est quand même bien calmé. Les versions précédentes plantaient au point de ne plus être utilisables.

[balu]

L'étude a été commanditée par Google

Qui s'en sort le mieux ? Google Chrome comme par hasard

Sérieusement ? Ce n'est pas très crédible tout ça.

[gillai]

Qui s'en sort le mieux ? Google Chrome comme par hasard

Sérieusement ? Ce n'est pas très crédible tout ça.

C'est pas un peu le résultat qu'on a à chaque fois pour Microsoft, Apple, ... ?

[balu]

C'est pas un peu le résultat qu'on a à chaque fois pour Microsoft, Apple, ... ?

Oui

Commanditer une étude qui comprend votre propre produit ne fait pas très sérieux et crédible à mon sens.

[Kiiwi]

Oui

Commanditer une étude qui comprend votre propre produit ne fait pas très sérieux et crédible à mon sens.

Pourquoi, tu connais beaucoup de gens qui commandent des études pour les autres?

Forcément, ce qui intéresse Google, c'est de comparé son produit à celui des autres pour l'améliorer, et pour montrer qu'il est meilleur.
ça aurait été Microsoft qui aurait commandité cette étude ... il aurait également demandé à ce que son navigateur soit testé (quel intérêt pour lui sinon de faire un comparatif entre Firefox et Chrome?)

[CapFlow]

J'aurais aussi aimé avoir les résultats d'Opera, que j'utilise en principal !

[balu]

Forcément, ce qui intéresse Google, c'est de comparé son produit à celui des autres pour l'améliorer

Si c'est dans ce but, alors c'est une bonne raison.

[Flaburgan]

Pourquoi, tu connais beaucoup de gens qui commandent des études pour les autres?

Forcément, ce qui intéresse Google, c'est de comparé son produit à celui des autres pour l'améliorer, et pour montrer qu'il est meilleur.
ça aurait été Microsoft qui aurait commandité cette étude ... il aurait également demandé à ce que son navigateur soit testé (quel intérêt pour lui sinon de faire un comparatif entre Firefox et Chrome?)

Oui, mais les résultats sont toujours tournés de manière à mettre en valeur son produit. Par exemple, dans le deuxième tableau, le sandboxing est marqué d'une grosse croix rouge pour FireFox avec marqué "not implemented" comme si c'était une faute, alors que c'est un choix libéré, et que l'on peut très bien avoir un bon navigateur sans sandboxing. Ce qu'on demande après tout, c'est un navigateur sans vulnérabilité, après juger sur la technique utilisée en disant "vous avez pas fait ça", quelle importance si le résultat est à la hauteur ?

De plus je viens d'aller jeter un coup d'oeil au rapport pour connaître les versions (et au passage, j'ai édité la news), la version de FireFox est la 5 (donc qui date de juin dernier, alors que nous sommes en décembre et que de très nombreuses évolutions ont eu lieu depuis), et curieusement, deux versions de chrome ont été testées...

[Camille_B]

Comme d'hab, c'est n'importe quoi.

Depuis quand le sandboxing (seul truc vraiment testé dans ce machin) est-il l'alpha et l'omega de la sécurité dans un navigateur web ?

Et le tite de l'article, mon Dieu !

Développez.net toujours roi du bon gros titre bien lourdingue, bien trollifère, bien attrape-lecteur (tiens, j'me suis fais avoir !).

[Grimly_old]

Quel est d'après-vous le navigateur le plus sécurisé ?

wget ?

Certes on n'as pas de navigation graphique mais on a les liens des pages suivantes pour relancer un wget non ?

La "sécurité" c'est un mot détourné pour faire vendre aux entreprises.

[berceker united]

Pourquoi, tu connais beaucoup de gens qui commandent des études pour les autres?

Forcément, ce qui intéresse Google, c'est de comparé son produit à celui des autres pour l'améliorer, et pour montrer qu'il est meilleur.
ça aurait été Microsoft qui aurait commandité cette étude ... il aurait également demandé à ce que son navigateur soit testé (quel intérêt pour lui sinon de faire un comparatif entre Firefox et Chrome?)

Vouloir commander une étude/audit pour améliorer son produit est une chose. Le diffuser en est une autre. Car ça peut être contre productif pour lui. Là, pour moi, c'est une forme de publicité Une étude toute aussi sérieuse et totalement indépendante aurait donnée plus de crédibilité au résultat.

[BugFactory]

Qui s'en sort le mieux ? Google Chrome comme par hasard

Sérieusement ? Ce n'est pas très crédible tout ça.

Pas forcément. A chaque étude de ce type, on accuse les testeurs de malhonnêteté, mais il y a biais dont on ne tiens jamais compte : celui des critères choisis.

Quand on développe un logiciel, on essaye d'atteindre certains objectifs de qualité. Quand on teste un logiciel, on vérifie si il atteint ces objectifs. Hors, ce choix de critères est arbitraire et dépend des priorités que l'on se fixe.

Logiquement, les navigateurs remplissent au mieux les critères fixé par leurs développeurs. Si on prend la liste d'objectifs d'un autre navigateur, c'est celui-ci qui la remplira le mieux. L'article dit par exemple que les concepteurs de Firefox ne sont pas convaincus par le bac à sable : pas étonnant qu'il soit mauvais sur ce critère. Inversement, si on étudiait la possibilité pour une extension d'atteindre les couches basses du navigateur, la palme reviendrait à Firefox. (Oui, je sais que cet article ne parle que de sécurité.)

Par conséquent, les ingénieurs de Google n'ont pas eu à faire preuve de partialité pour trouver que Chrome est le meilleur navigateur. Simplement, ayant la même culture d'entreprise que ses concepteurs, ils ont retenus une liste d'objectifs similaire, aboutissant immanquablement à conclure que Chrome est meilleur.

C'est une des raisons pour lesquels les tests doivent être menés par une entité indépendante. Ce n'est pas seulement un problème d'impartialité, c'est aussi un problème de point de vue.

Ou alors je dis n'importe quoi et ce test est une publicité éhontée.

[spyserver]

Faire cette étude sur Firefox 5, premiere vulnerabilité du test, alors qu'on sait tous que la version 8 (et/ou nightly 11) offrent de bien meilleurs résultats ... c'est d'ailleurs la marque de fabrique de Firefox le dev iteratif sur des sprints courts ... et oui IE est forcement plus securisé puisqu'il bloque tout et "ne prend pas de risque" au regard de l'experience utilisateur qui peut s'averer désastreuse ...

[kolodz]

Il est aussi possible qu'il y ai eu une première étude moins glorieuse moins médiatisé. Et qu'ils aient réalisé les modifications pour correspondre au attente de l'étude.
Il est assez facile de dire "Vous avez vue mon truc est sécurisé." Quand on vient justement de se pencher sur la sécurité juste avant le contrôle.
Les audits comme cela sont jours à prendre avec du recule. Une personne qui demande un audit y est forcement plus préparer que les autres.

Cordialement,
Patrick Kolodziejczyk.

[Kiiwi]

Faire cette étude sur Firefox 5, premiere vulnerabilité du test, alors qu'on sait tous que la version 8 (et/ou nightly 11) offrent de bien meilleurs résultats ... c'est d'ailleurs la marque de fabrique de Firefox le dev iteratif sur des sprints courts ... et oui IE est forcement plus securisé puisqu'il bloque tout et "ne prend pas de risque" au regard de l'experience utilisateur qui peut s'averer désastreuse ...

Cette étude a été faite sur des navigateurs de la même 'époque' !

La dernière mise à jour d'IE remonte à juin (une mise à jour qui n'a rien apporté, juste la correction d'une faille de sécurité il me semble). A cette époque, on en était à firefox 5, et Google Chrome 12.

Voilà pourquoi est comparé une vieille version de firefox ET de chrome.
Par contre ... je n'explique pas la présence de Chrome 13 dans le test.


Il y aurait eu un IE9.1 en septembre, on aurait comparé IE9.1 avec Firefox 7, et Chrome 14.

[Flaburgan]

Cette étude a été faite sur des navigateurs de la même 'époque' !

La dernière mise à jour d'IE remonte à juin (une mise à jour qui n'a rien apporté, juste la correction d'une faille de sécurité il me semble). A cette époque, on en était à firefox 5, et Google Chrome 12.

Voilà pourquoi est comparé une vieille version de firefox ET de chrome.
Par contre ... je n'explique pas la présence de Chrome 13 dans le test.


Il y aurait eu un IE9.1 en septembre, on aurait comparé IE9.1 avec Firefox 7, et Chrome 14.

Je pense que c'est tout simplement les navigateurs qui étaient sortis au moment du début de l'étude. Si l'étude commençait maintenant, ils prendraient Firefox 8, et tant pis pour IE s'il n'a pas évolué depuis.

[FredN]

En effet, comme l'on mentionné certains ces études sont biaisées, puisqu'on ne teste et montre que ce qui va dans le sens du commanditaire.

Par exemple, si les fonctionnalités de mise en page à l'impression de chrome ne seront jamais testées dans une étude commanditée par google, il y a bien une raison...