Sécurité des navigateurs

Par Tristan, vendredi 27 mars 2009. Lien permanent Navigateurs

Il y a quelques jours (jeudi dernier) se tenait une conférence sur la sécurité informatique, CanSecWest. Dans une des sessions appelée Pwn2own^[1], des chercheurs en sécurité sont mis au défi de pénétrer dans une batterie d'ordinateurs. S'ils réussissent, il gagnent l'ordinateur. A ce jeu là, les chercheurs en question recherchent en amont des failles de sécurité, les gardent secrètes jusqu'à cette session, où ils les dévoilent pour remporter le prix.

A cette occasion, des failles de sécurité ont été révélées dans Internet Explorer 8, Firefox 3 et Safari.

Parallèlement, un autre trou de sécurité a été trouvé et publié suivant la méthode de full disclosure, mettant les utilisateurs de Firefox dans une position très désagréable : celle où une faille est publique.

A l'heure qu'il est, les rustines pour les deux failles ont été écrites, intégrées et testées dans Firefox. Une prochaine version, nommée 3.0.8 est sur le point de sortir, peut-être ce week-end.

Voilà pour les faits. Prenons un peu de recul par rapport aux événements :

Comme tous les navigateurs sont des logiciels très complexes et qu'ils sont écrits par des humains, ils contiennent des erreurs, des bogues, dont certains sont des failles de sécurité. C'est inévitable. Par contre, ce qu'on peut faire quand on découvre une faille, c'est deux choses :

la corriger le plus rapidement possible
déployer le correctif le plus rapidement possible.

Autrement dit, c'est une course contre la montre pour mettre les utilisateurs en sécurité.

Puisque tous les navigateurs finissent par avoir des failles de sécurité, comment savoir celui qui est le plus sécurisé (ou le moins dangereux) ? Plutôt que de mesurer le nombre de failles (qui n'est pas significatif, comme je l'ai démontré), il y a de biens meilleures méthodes. Par exemple mesurer le temps qui s'écoule entre le moment où la faille est publiée et celui où l'utilisateur a une nouvelle version du logiciel qui bouche le trou.

C'est même infiniment plus significatif – et instructif – que le comptage de failles. D'ailleurs, si un journaliste en sécurité informatique voulait se pencher sur le problème et compter la durée des "fenêtres de temps de vulnérabilité" de Firefox et Internet Explorer, je suis sûr que ça ferait un très bon papier...

Pourquoi je vous parle de ça ? Parce que je viens de lire une interview sur France24 du patron de Microsoft Europe, Jean-Philippe Courtois, qui déclare à propos d'IE 8, cracké lors de CanSecWest/Pwn2own :

On a des réactions extrêmement rapides en termes de corrections de vulnérabilité.

Soit. Je vous propose donc une petite expérience... Dès que Firefox 3.0.8 est sorti, je déclenche le chrono pour voir combien de temps il faut à Microsoft pour corriger leur problème, qui a été trouvé en même temps que celui de Firefox. On va bien voir ce qu'ils entendent par "extrêmement rapide", chez Microsoft. Je me demande si ça sera corrigé lundi ou mardi. Ou le mois prochain. Ou l'année prochaine... Et puis on va voir combien de temps les gens prennent pour le mettre à jour.

J'espère qu'ils ont changé fait des progrès chez Microsoft. Sur l'année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. Que les choses soient claires : Firefox aussi a eu des failles en 2006. Mais les utilisateurs n'ont été exposés que 9 jours.

Mise à jour : Firefox 3.0.8 est officiellement sorti à 15h45 heure de Californie, le 27/03/2009. Tic. Tac. Tic. Tac.

Nouvelle mise à jour le 8 avril 2009 : Internet Explorer 8 vient d'être mis à jour, 12 jours après Fireox, indique un lecteur du Standblog. Il ajoute qu'il "faudrait vérifier si elle comble bien la faille de sécurité, mais c'est impossible à confirmer, je ne trouve aucune release note". La faille n'est pas décrite, la solution non plus, l'utilisateur ne sait pas, il est laissé dans le noir et l'incertitude, dans l'obligation de croire Microsoft sur parole.

Notes

[1] Qu'on pourrait traduire par "piraté, c'est gagné !"

35 réactions

1 De David - 27/03/2009, 21:40

> les utilisateurs n'ont été exposés que 9 jours

Ah bon ?
http://www.webdevout.net/browser-se...
2 De tfe - 27/03/2009, 21:47

C'est sûr que le problème de IE est sa non-mise à jour automatique. Cela aurait résolu le problème d'IE6 depuis longtemps
Par contre je crois que tu critiquais google chrome il y a peu sur le fait qu'il oblige justement aux mises à jour (http://standblog.org/blog/post/2009...).
Celles-ci doivent être automatique que si critiques si je comprends bien?

Merci pour ce très bon billet.
3 De Gilles - 27/03/2009, 22:27

A condition de savoir, dans le tas de mise à jour, si l'une d'elles contient le correctif sur cette faille précise pour IE...
4 De Julien - 28/03/2009, 00:13

Je lis l'article
je ferme firefox
Un synapse s'active
je click sur l'icone
Firefox se mets a jour
Un sourire s'esquisse

haïku du soir
espoir
5 De Hybrid Son Of Oxayotl - 28/03/2009, 00:17

Je pense que pour juger de la sécurité, le bon compromis nombre de faille/temps de réaction, en fait, c'est les jours avec une faille de sécurité publique non réparée ...

Bon, ensuite, je peux bien surfer avec une version de Links avec une faille énorme, je ne risque pas grand chose, c'est les parts de marchés qui font qu'avoir un navigateur non sécurisé est dangereux ...
6 De Jean-Luc - 28/03/2009, 06:45

Il est exactement 1h42 (EST) et la mise à jour Ubuntu que je suis en train de faire contient déjà Firefox 3.0.8!

Chapeau...
7 De Tredok - 28/03/2009, 07:44

Bah voila, la mise à jour vers la version 3.0.8 est effective au moins depuis ce matin.
Lancement du chrono ? ^^
8 De Da Scritch - 28/03/2009, 08:55

C'est, à mon sens, la méthode la plus honnête de comparaison. Et elle met à pied d'égalité une multinationale avec ses équipes de contrôle qualité et de réponse sécurité, et une fondation à but non lucratif avec un noyau dur de développeurs payés et des bénévoles. Ça sera marrant de savoir d'ailleurs qui contribue dans ce cas-là.

À la décharge de Microsoft, ils doivent veiller aux problèmes de non-régressions, recompiler pour chaque version du kernel de leur OS (XP SP2, SP3, Vista trucmuche, version i586 ou x64, langue, etc...), soit plusieurs centaines de versions avec leurs particularismes. Les inconvénients d'être trop bien intégré au système.

Ceci dit, attention, lors de mes recherches sur les origine de traffic de MSIE6, j'ai découvert qu'une bonne partie venait de machines à systèmes ROM. Ce qui veut dire, pas de mise à jour possible, mais en même temps, un système sain à chaque rallumage. http://dascritch.net/blog.php/post/...
9 De Yonnel - 28/03/2009, 09:58

Samedi, 9h35. KUbuntu vient de me signaler que des mises à jour sont disponibles pour Firefox. Deux clics, c'est téléchargé et installé. Ma version, maintenant : 3.0.8.

Bravo à Mozilla, bravo à la communauté, quelle p... de réactivité !

Je souligne l'excellence de l'opération de communication, by Monsieur Tristan : d'abord, on admet qu'il existe une faille, quand il y en a une (ne pas nier l'évidence). Ensuite, on dit qu'on va y remédier, et on dit dans quels délais. Enfin, on bosse, et on tient les délais. Transparence + humilité + moyens de communication adaptés + qualité du produit avérée = utilisateurs ravis = la confiance en Mozilla monte en flèche.

On se donne rendez-vous le jour où le correctif pour IE8 sera publié. Pour l'instant, aucune communication de Microsoft. Y'a des jours, on est vraiment heureux d'être passé au libre.
10 De bill - 28/03/2009, 10:07

Quelques faits plutôt que des opinions pour changer de ce blog: 1) Il n'y a pas que le navigateur qui est important, l'OS est aussi très important. Il est plus facile de hacker (aujourd'hui) sur MAC que sur VISTA. 2) ces failles sont secretes - sous NDA. 3) en général, le hacker vient avec ses failles, donc le temps de découverte pendant la conférence n'a strictement aucune valeur.

Voir ici une interview du hacker: http://blogs.zdnet.com/security/?p=...
11 De cobus - 28/03/2009, 10:16

Monsieur Nitot , êtes-vous tout à fait honnête sur ce coup, car je suppose que la correction était prête lorsque vous avez rédigé le billet ?
Bravo, tout de même pour la réactivité de la communauté du libre, en particulier, la Fondation Mozilla et Ubuntu . Cordialement
12 De idoric - 28/03/2009, 10:42

@David
> > les utilisateurs n'ont été exposés que 9 jours
>
> Ah bon ?
> http://www.webdevout.net/browser-se...

Justement, j'y lis (vu que c'est un tableau, j'ai fait le copier-coller comme j'ai pu, j'espère que ça reste compréhensible):

Security vulnerabilities (in public)
Aspect Internet Explorer Firefox Safari Opera
...
Historical cumulative values (from last 365 days)
Vulnerability reports 41 9 4 1
13 De Bonkman - 28/03/2009, 10:51

Pour le coup, il y a de grandes chances pour que le problème avec IE8 soit déjà corrigé, pas de bol les gars, ce sera pour une fois l'auto satisfaction et le tirage sur l'ambulance. Lire ceci: http://www.networkworld.com/news/20... et ceci http://blogs.iss.net/archive/chicks...
ASLR et DEP sont des technologies puissantes apportées par l'OS et qui permettent à tout programme sur la plateforme (donc aussi Firefox ou d'autres) de se protéger efficacement. Cette technologie a une seule faille: les anciens programmes qui doivent cohabiter avec les nouveaux. La faille d'IE8 venait du fait qu'IE8 était encore un peu trop compatible avec les anciennes versions...
14 De Hellix - 28/03/2009, 11:01

Hier soir petit stress
Ce matin, les doigts de pieds en éventail (merci ubuntu)

Tristan, ne me déçois pas, il tourne bien le chrono ?

Félicitations aux mozilliens
15 De Tristan - 28/03/2009, 11:07

@cobus : je n'aurais pas parlé de ce problème de sécurité si Jean-Philippe Courtois n'avait fait ces affirmations douteuses à France24. Son discours du genre "dormez braves gens, Microsoft s'occupe de tout" à la presse m'a fait sortir de mes gonds. Ne croyez pas qu'on s'est dit : "tiens, Courtois dit une connerie, on va bousculer le planning des sorties pour l'humilier." Vous auriez tort.

@Bill : ravi de te retrouver ici, cher Bill. Ta retraite se passe bien ? Je ne vais pas répondre sur les systèmes d'exploitation. Ca n'est pas mon rayon. J'ai utilisé indistinctement Windows, Linux et Mac (et CP/M et DOS et Unix) ces 25 dernières années. Le système d'exploitation n'a pas d'importance, du moment qu'il me permet de faire tourner un navigateur moderne. Par contre, tu affirmes "en général, le hacker vient avec ses failles, donc le temps de découverte pendant la conférence n'a strictement aucune valeur.". C'est exactement ce que j'ai dit. Relis mon billet. Un garçon intelligent comme toi doit pouvoir faire ça. C'est pour ça que je déclenche le chrono : Microsoft et Mozilla sont à égalité. Nous avons commencé à travailler sur un correctif pour la faille CanSecWest/Pwn2Own dès que nous l'avons appris. J'imagine que Microsoft est une société responsable qui prend à coeur la sécurité de ses clients, et fait de même. En plus, Microsoft gagne beaucoup d'argent, a beaucoup d'ingénieurs, donc les moyens ne sont pas aussi limités que chez Mozilla. Et puis le PDG Europe affirme "On a des réactions extrêmement rapides en termes de corrections de vulnérabilité." Donc je déclenche le chrono. J'attends. Avec impatience. Tic. Tac. Tic. Tac.
16 De Tristan - 28/03/2009, 11:50

@TFE : Faut-il imposer les mises à jour ? Le problème est complexe. Comme je l'expliquais dans le billet en question, c'est à double tranchant : plus de sécurité, mais moins de liberté. Le compromis est cornélien... Chrome a pris une option qui n'est pas celle de Mozilla, mais qui a son intérêt. Par ailleurs, c'est très facile de décréter que toutes les mises à jour sont critiques. De fait, c'est presque le cas chez Mozilla ! Quand la 3.0 est sortie, elle n'était pas critique, mais c'était une exception, car toutes les autres (3.0.1, 3.0.2, etc.) sont des mises à jour de sécurité. C'est pour ça qu'on n'incite pas les utilisateurs de le 2.0.0.x à la mise à jour vers 3.0 pendant plusieurs mois. Par contre, à chaque sortie de version de maintenance (et donc de sécurité et stabilité) de la 2.0.x, on les pousse à migrer vers celle-ci, jusqu'au moment où on prévoit de ne plus maintenir la banche 2.0. A ce moment là, on encourage vivement à passer vers la 3.0.x disponible à ce moment là, pour des raisons de sécurité.
17 De Charles-Antoine Couret - 28/03/2009, 12:25

Comment on peut dire que les utilisateurs sont exposés 10, 15, 100 ou 365 jours pour une faille ?
Je veux bien croire que ce nombre se base entre le temps de la découverte et la résolution de la faille, mais concrètement, les utilisateurs étaient exposés avant la découverte et rien n'empêchait l'exploitation de la faille (car bon, qu'est-ce qui dit que ces braves gens à ce concours ne connaissaient pas déjà les problèmes de sécurités de chacun d'eux ? Et que d'autres le soient aussi ?) ça fait un peu mensonger de dire ça. Je pense qu'il est préférable de dire que Firefox n'a eu besoin que de 9 jours entre la découverte de toutes ses failles publiques et la correction cette année. Ça serait je pense plus juste et moins mensonger pour le public ignorant...

Sinon, pour ce qui est d'imposer ou non la mise à jour, je serais partisan d'une option désactivée par défaut. Par exemple le possesseur de l'ordinateur pourrait dire « installer toutes mes mises à jour en me proposant de redémarrer le navigateur une fois fait » un peu comme GNU/Linux le propose à ses utilisateurs (du moins Fedora). L'avantage c'est que l'administrateur n'a pas besoin d'être là pour vérifier que les logiciels sont à jour, il délègue la tâche qui se fait tout seul et ceux qui veulent la liberté l'auront (et ce, par défaut).
Car je dois dire que il y a un défaut à proposer tout le temps, déjà ça empêche d'avoir pour de grands parcs informatiques d'avoir une mise à jour automatisée avec donc la pointe de la sécurité si on puis dire. Quand je vois mon école qui a Firefox 2.0.0.11 c'est désolant, et impossible de mettre à jour (besoin des droits admins tout ça) l'avantage ici c'est que l'intervention de l'administrateur du parc ne serait pas obligatoire et on aurait la pointe de la sécurité pour autant. Et la liberté n'en serait pas réduit, seuls ceux qui veulent bénéficier de cet automatisme l'auront activé...

Ça ne serait pas mieux non d'allier le meilleur des deux mondes ?
18 De Thunderseb - 28/03/2009, 12:36

Personnellement je ne supporte pas les mises à jour automatiques. J'aime avoir un contrôle sur ce qui se passe et ce qui se télécharge.

Quand j'ai remarqué que Firefox téléchargeait tout seul une mise à jour sans que je puisse la stopper ça m'a assez énervé (en plus il a planté en l'installant). J'aurais préféré que l'option "Automatically download en install the update" ne soit pas cochée par défaut, même si je comprends ce choix.
19 De Charles-Antoine Couret - 28/03/2009, 12:52

Oups, je viens de voir que ça existait déjà ma suggestion. Seulement le soucis c'est que quand on utilise un compte non-administrateur (ou non-root) ça ne fonctionne pas...
Impossible de corriger ou de contourner cela (par exemple si l'administrateur valide, les autres sont répercutés ?) car bon quand on voit à quoi ça peut mener, niveau sécurité on a vu mieux ! Avoir la 2.0.0.11 par exemple est inacceptable quand on voit les risques que ça encoure pour rien en retour...
20 De cobus - 28/03/2009, 16:23

@Tristan : Je pensais en effet que votre montre faisait plutôt tac-tic, c'était de bonne guerre, j'avais tort. Dont acte.
21 De Da Scritch - 28/03/2009, 18:46

@Couret : je suis utilisateur Linux, et le problème est encore plus important sur les systèmes n*x quand Firefox tourne normalement en droits non root :
Il ne vérifie même pas la disponibilité d'une mise à jour.
Rien, même pas un message invitant à se logguer en root ou à faire tourner l'appli de mise à jour de sa distrib.

Oui, c'est problématique. Et on pourrait dès à présent le modifier (incomlplètement) en mettant un JS la page de garde de firefox google.

Mais c'est un autre débat.

Le débat de Tristan est autre : Trouvez-vous normal qu'une petite fondation fasse exactement le même boulot (avec la difficulté des multiples versions par OS) plus vite qu'une multinationale au budget immensément supérieur ?
Alors pourquoi ce dernier en fait une désinformation éhontée ?
22 De -Stéphane- - 29/03/2009, 13:20

@Da Scritch
Je suis moi même utilisateur de Linux (Fedora), et il est vrai que le mécanisme de mise à jour automatique de Firefox est souvent désactivé au profit du mécanisme de mise à jour des distributions.
Mais d'une manière générale, ça ne pose aucun problème, car il y a toujours une applet qui nous affiche la disponibilité des mises à jour avec leur importance (merci PackageKit sur Fedora).
Bref ce n'est plus Firefox qui m'indique la présence d'une mise à jour, mais l'applet du gestionnaire de paquet de ma distribution (et ça marche aussi bien).
23 De Charles-Antoine Couret - 29/03/2009, 13:50

@Da Scritch :
Microsoft est peut être une multinationale mais on ignore quelle taille a l'équipe de IE. Car l'ensemble des employés Microsoft ont des tâches très distinctes de IE (Windows, Office, Xbox, jeux vidéo, Zune, sites web, Live Search, Encarta, etc.) IE n'est qu'un minuscule composant dans cet écosystème de l'entreprise et la question est, quelle taille Microsoft alloue à IE ? Car si ça se trouve, IE a moins d'employés pour l'aider que Mozilla qui ce dernier en plus a des bénévoles pour l'aider derrière, pas Microsoft !

Et ça m'étonnerait que cette équipe soit très grande quand on sait que IE n'avait plus d'équipe de développement entre 2001 et 2005.
24 De pseudo si ça dérange pas - 29/03/2009, 14:16

@Da Scritch, qui nous dit :
"Le débat de Tristan est autre : Trouvez-vous normal qu'une petite fondation fasse exactement le même boulot (avec la difficulté des multiples versions par OS) plus vite qu'une multinationale au budget immensément supérieur ?
Alors pourquoi ce dernier en fait une désinformation éhontée ?"
=> Auriez-vous des chiffres, comme le budget accordé au dev d'IE ? De plus, oseriez-vous dire que Mozilla serait une "petite" association avec des moyens limités (et la fortune made in Google alors ?) ? C'est totalement faux. Arrêtons la désinformation. Le coup de la "petite association de bénévoles" ne tient plus.

@Tristan
=> Quant allez-vous arrêter de surfer sur la vague de l'insécurité, comme le faisait notre gouvernement -dans un autre domaine mais de façon toute aussi affligeante- il y a encore quelques temps ?
Je m'explique : que vous soyez sous IE5, IE8, Firefox 0.9.x ou Firefox 3.x, vous ne risquez absolument RIEN du moment que vous surfez "responsable", c'est à dire en évitant les sites douteux, les warez, les sites de fesses, et j'en passe.
Arrêtez de dire aux gens qu'avec IE ils attraperont tous les malwares du monde, c'est faux archi faux.
La plus grande faille de sécurité reste encore l'utilisateur non formé. Et la formation ne consiste pas en l'utilisation d'un tank ultra-blindé au lieu de sa petite voiture, non, il faut juste lui apprendre à conduire
25 De NightmareRequiem - 29/03/2009, 18:45

@ Tristan: J'adore Firefox et je le conseil à mes connaissances, certains passe a Firefox et d'autres non, mais ceux qui font le changement sont tous satisfaits, d'avoir un navigateur simple, performant et sécurisé.
Votre temps de réaction ne m'étonne pas, mais vous avez forcément un secret pour être aussi réactif lol ??
26 De idoric - 29/03/2009, 21:06

«Chrome came out smelling like a rose at the Pwn2Own Conference. Security researchers were able to easily exploit vulnerabilities in Firefox, Safari, and Internet Explorer, but were unable to crack Chrome. Security researchers attribute the strength of Google's browser to its sandbox design.»
Vu sur http://arstechnica.com/tech-policy/...

J'avoue que l'opinion de Tristan sur ce point m'intéresserait énormément.
27 De Tristan - 30/03/2009, 08:00

@"pseudo si ça dérange pas" qui écrit :

> que vous soyez sous IE5, IE8, Firefox 0.9.x ou Firefox 3.x, vous ne risquez absolument RIEN du moment que vous surfez "responsable", c'est à dire en évitant les sites douteux, les warez, les sites de fesses, et j'en passe.

Bah c'est faux. C'est quand même dommage d'écrire des conneries pareilles. Il est arrivé un nombre incalculable de fois que des sites légitimes soient crackés pour y mettre des virus. Pire, les réseaux publicitaires ont été crackés à plusieurs reprises, ce qui fait que les millions de sites légitimes qui affichaient des pubs étaient susceptibles d'héberger du code malicieux issu des réseaux publicitaires.

"Il vaut mieux fermer sa gueule et risquer de passer pour un con que de l'ouvrir et ne laisser aucun doute à ce sujet". Desproges.
28 De Tristan - 30/03/2009, 08:45

@Charles-Antoine Couret qui écrit "si ça se trouve, IE a moins d'employés pour l'aider que Mozilla qui ce dernier en plus a des bénévoles".

Si c'est le cas, ça prouve bien que Microsoft ne met pas les moyens pour faire un logiciel de qualité malgré sa position de leader en parts de marché, et que donc il faut passer à un navigateur moderne et plus sûr, non ?

Pour remettre les choses en perspective, Microsoft génère en bénéfice trimestriel (4,17 milliards de dollars) 55,6 fois plus que Mozilla en chiffre d'affaire annuel (75 millions). Si l'on compare les deux chiffres d'affaires en 2007 (respectivement 14065 millions pour MSFT et 75 pour Mozilla Foundation), on trouve un facteur de 187,53.
29 De gut - 30/03/2009, 13:40

Le tic tac, il tourne aussi pour Safari?
Il faudrait pas faire de favoritisme parce que Safari respecterai mieux les standards qu'IE.
30 De Kévin Hinault - 30/03/2009, 17:23

J'apporte mon grain de sel. Il est vrai que le développement de patchs de correctifs, de fonctionnalités est largement plus rapide dans le monde du libre que dans le monde des logiciels propriétaires. Celui-ci ne sera jamais aussi rapide pour des raisons que vous êtes à même de comprendre sans problèmes et dont vous pourriez tout de même faire état.

Étant développeur dans une de ces boîtes, je vois tous les jours un gros problème : nos développements quels qu'ils soient sont entourés d'une multitude de procédures extrêmement longues et extrêmement pénibles : phase d'études, phase de murissement, phase de dev, phase de tests, phase de qualification, phase de mise en prod, phase de <mettez ce que vous voulez>, etc. Toutes ces "phases" ne débarquent pas d'hier. Elles sont arrivées dans le monde des devs pour deux raisons essentiellement :

- Primo : "protéger l'entreprise" en cas de litige. Vue de loin c'est absurde j'en convient, mais les cas de clients (particulier ou entreprise) se retournant contre les entreprises de devs se sont déjà produits. Dans beaucoup de cas, on parle tout de même de marchés de plusieurs centaines de milliers d'euros. Même des évolutions mineures ou des corrections prennent des lustres à cause du bruit considérable que cela génère. Mozilla n'a pas ses considérations puisque ne vend pas de logiciels et n'a donc pas contractualisation de fait.

- Secundo : l'entreprise n'aime ignorer ce que fait un employé et lui demande un tas de justifications de son temps passés sur ses devs. Il se retrouve donc en plus forcé de devoir justifier le temps qu'il passe sur ses devs et ce avec une très grande précision. Il y a un réel manque de confiance des employeurs envers les employés. Tout doit absolument être chiffré pour faire payer le client, s'en est presque effrayant. Aussi l'employé devient bête et méchant et finit par ralentir ses devs et ne faire que le strict minimum, à savoir ce qui est demandé, ni plus ni moins. Et ne comptez pas sur lui pour se surpasser ou innover. L'erreur est de penser que le développement logiciel est une industrie, c'est beaucoup plus proche de l'artisanat en réalité et le logiciel libre le prouve.

Le logiciel libre est totalement libéré de ce contexte manichéen basé sur la production et le rendement, choses qui n'ont pas de valeurs dans l'informatique mais que l'on continu à croire pourtant. Quelques entreprises de devs l'ont heureusement assimilé - Google et Apple entre autres - et toute leur chaine de dev est performante parce qu'ils n'ont pas une tonne de barrages administratifs ingérables. Leurs employés peuvent aussi se permettre de travailler sur des projets non rentables directement. Par exemple, la multitude de gags fournis par les employés de Google.

Je ne défends pas Microsoft, bien au contraire mais j'essaie de donner une explication à cette lenteur qui échappe un peu au public. L'entreprise a tort parce qu'elle ne sait pas sortir de son mode de fonctionnement, le client aussi parce qu'il est habitué à recevoir un service ou un produit lorsqu'il en paye le prix.
31 De xavier essonne 91 - 30/03/2009, 18:09

c'est lao tseu dans tao te king qui a écrit qui accumule l'or et le jade dans sa maison ne peut en défendre l'entrée.

comme fermé quelque chose d'ouvert, je crois souvent que la simplification peut être une bonne source d'inspiration pour fermer un système.

Pour ma part j'utilise firefox pour les application supplémentaires et je me doute des dangers que je risque, c'est l'appat du gain qui m'attire
32 De Charles-Antoine Couret - 30/03/2009, 18:11

@Tristan : attention, ne dis pas ce que je n'ai pas dit ! Que IE soit une équipe de 10 personnes est une chose et qui en expliquerait bien d'autres, mais je ne dis pas que c'est normal au contraire même.

J'ai toujours et je soutiendrais toujours Mozilla de toute façon, utilisant Mozilla Suite depuis 2001 (merci papa qui aimait Netscape :p), ce n'est qu'un prolongement logique. La sécurité est importante.
Mais encore une fois, est-ce que Mozilla planche pour que l'on puisse mettre à jour Firefox de manière automatique même pour les comptes non administrateurs et ce quel que soit l'OS ? Car question sécurité, ça serait en fait le mieux !
33 De desfrenes - 31/03/2009, 13:42

Bah... de toutes façons la nouvelle version d'IE aura tous les avantages de Firefox: http://www.smashingmagazine.com/200...

mmm... on est le combien déjà ?
34 De sylain - 01/04/2009, 17:43

Il serait bien de voir que les administrations publiques face plus confiance à firefox en matière de sécurité. À moins que cela vienne des développeurs. On ne peux pas s'inscrire sur net-entreprise avec Firefox !!
35 De Jérôme - 06/04/2009, 22:26

Tristan, tu cites toujours les statistiques de 2006, c'était il y a une éternité à l'échelle de l'informatique. (Enfin, je dis « tu » mais je m'étais déjà fait cette réflexion en passant sur la page de présentation de FF qui reprenait les mêmes données).

Je suppose que c'est parce qu'en 2007 et 2008, les statistiques étaient moins flagramment (erk !) en défaveur d'IE.
Loin de moi l'idée de dévaloriser la réactivité des équipes de développement de FF qui est vraiment fantastique sur les failles de sécurité.
Allez ! Vivons au présent (et faisons confiance à l'intelligence des utilisateurs) !

@ Thundereb » 99 % des utilisateurs préfèrent une mise à jour automatique (ou n'ont pas les compétences nécessaires pour bien savoir comment gérer ces mises à jour – je pense à mes parents, par exemple, à qui j'ai installé FF). Donc, à partir du moment où tu disposes des options te permettant d'avoir la maîtrise des màj, inutile de râler, non ?

« En vrac - Citation du jour »

Standblog