Firefox est toujours meilleur qu'Internet Explorer en terme de sécurité, titre eWeek. Petit extrait, traduit par mes soins :
Pourquoi je pense que Firefox est meilleur ? Je vais laisser Chris Beard, de Mozilla, vous expliquer ce qu'il pense :
Il est difficile de tirer des conclusions sur la sécurité d'un navigateur donné en comparant les vulnérabilités reconnues par les éditeurs pendant une période donnée. Ce type d'évaluation ne prend pas en compte le nombre de vulnérabilités non résolues et la vitesse à laquelle les vulnérabilités critiques sont résolues. Il est aussi important de noter que la plupart des éditeurs de logiciels publient les vulnérabilités différemment. Certains regroupent des vulnérabilités, alors que Mozilla les publie séparément et avec abondance de détails, car cela fait partie de notre processus Open Source.
Des réparation plus rapides, plus ouvertes, et une plus grande transparence.
Pour moi, tout cela est positif. Pour vous, ça devrait l'être aussi.
eWeek oublie de mentionner un aspect particulier de la comparaison IE/Firefox, qui s'opposent sur de nombreux points, dont la conception sécurisée dès le départ pour Firefox, d'une part, et la maturité du produit d'autre part. A cela, comme le précise eWeek, viennent s'ajouter l'aspect Libre du code et la démarche d'ouverture qui vient avec.
Je le dis et je le répète : aucun logiciel n'est parfait, et de ce point de vue-là, Firefox est comme les autres. Le fait que certains aient pu laisser entendre que Firefox était inviolable lui ont fait beaucoup de tort, car on est en droit d'être déçu quand on apprend qu'il a des trous de sécurité. Firefox est mieux sécurisé, je n'ai pas de doute là-dessus, mais je suis certain qu'il n'est pas parfait.
Mais venons-en au nombre de ces trous de sécurité. Quand Symantec déclare qu'il y a plus de trous de sécurité dans Firefox que dans Internet Explorer, le discours est biaisé : on compare un produit jeune à un produit très mûr (pour ne pas dire obsolète). On ne dit rien de précis sur la "criticité" (la gravité) des failles, rien sur la rapidité de correction.
Je pense que Firefox et son moteur Gecko, parce qu'ils ont été conçus par des gens expérimentés (ils ont vécu l'expérience Netscape), est fondamentalement plus sécurisé qu'Internet Explorer, qui a été conçu dans l'urgence, à une époque où la sécurité était moins importante qu'aujourd'hui, par des gens issus essentiellement d'une culture poste-bureautique sans réseau. Il est bien connu, et des technologies comme ActiveX en sont autant de stigmates, qu'il était bien plus important pour Microsoft de sortir des nouvelles fonctionnalités que Netscape ne pourrait pas émuler, plutôt que de se concentrer sur la sécurité. Aussi, les gens spécialisés dans la sécurité, présents dans les réunions chez Microsoft à propos d'IE, ont rarement eu la parole. Tout cela a donné naissance aux très nombreux problèmes de sécurité rencontrés par Internet Explorer. Je suis conscient, en écrivant cela, que je risque de passer pour un odieux partisan, et ça me navre. A la décharge de Microsoft, on remarquera qu'ils ont fait de très gros efforts en terme de sécurité ces 12 derniers mois. La sortie du Service Pack 2 de Windows XP, si on oublie le problème de DRM, fut un réel pas en avant pour sécuriser Windows et IE.
Cela dit, Firefox a contre lui sa jeunesse. Un produit jeune, même bien conçu, a nécessairement des défauts. Si vous autorisez les gens à regarder sous le capot, surtout après le battage médiatique sur Firefox, vous pensez bien qu'ils vont se précipiter pour regarder. Et ils vont trouver ces défauts. L'approche ouverte du projet Mozilla fait que nous publions ces défauts une fois qu'ils ont été corrigés. C'est en quelque sorte le contrat que nous avons avec les gens découvrant ces problèmes. Par ailleurs, nous nous engageons à les résoudre le plus vite possible.
A l'inverse, on trouve toujours des problèmes dans Internet Explorer plusieurs années après sa sortie, car son code est fermé. Ils ont toujours été là, mais les gens bien attentionnés ont mis plus de temps à les découvrir. Ce qui signifie que les gens mal intentionnés ont eu plus de temps pour les utiliser, s'ils les ont découvert par eux même.
Enfin, il y a un problème auquel Mozilla et Microsoft sous tous deux confrontés : celui des mises à jour. Si on sort une version à chaque trou de sécurité, même minime, ça donne des versions trop rapprochées, et les gens ne font plus les mises à jour. C'est la raison pour laquelle Microsoft propose maintenant des mises à jour mensuelles, comme Apple : cela permet de grouper plusieurs rustines mineures. Quand on couple cela avec un mécanisme de mise à jour automatique par le Net comme Windows Update ou leurs équivalents chez Apple, Mozilla (et même les distributions Linux), on est presque sortis d'affaire. Presque ! Car le problème de l'éducation de l'utilisateur reste entier. Et c'est là, à mon avis, que se trouve le véritable défi pour les années à venir, en terme de sécurité informatique : vous pouvez toujours lui mettre entre les mains un navigateur sans trous de sécurité, si l'utilisateur saisit lui-même son numéro de carte bancaire dans le formulaire d'un site mal intentionné, le problème reste entier !
