Les lecteurs du StandBlog ne sont pas tous des pro-Microsoft ou des amoureux transis du beau Bill et de ce fabuleux danseur qu'est Steve Monkey-boy Ballmer. Ca serait sûrement plutot le contraire. Alors je pourrais faire dans le facile, le trivial, cracher ma bile sur l'homme le plus riche du monde et sa société monopolistique. Mais j'ai fait voeu d'auto-censure. Donc si je critique (et je me réserve ce droit), je me dois par contre d'étayer mes propos.

Aussi, quand on parle d'Internet Explorer pour Windows, le discours qu'on entend fréquemment est bien peu justifié et rationnel, et laissant beaucoup de place aux émotions, comme c'est une vraie merde, ça pue, c'est pas libre, c'est un vrai gruyère, ça se traine comme un veau neurasthénique ou encore Raaah, il n'y a même pas tel ou tel raccourci et/ou fonctionnalité.... Il y a sûrement un peu de vrai dans chacune de ces affirmations, mais aucune ne fait vraiment mouche. Après tout, c'est difficilement quantifiable.

Quand on parle des problèmes de sécurité d'IE, c'est pire encore : on évoque des trous béants, des arnaques de folie, des machins incroyables. Ce manque flagrant d'arguments objectifs me tracassait depuis quelques temps, et c'est dans le document de l'AFUL, intitulé MSIE et la sécurité, que j'ai trouvé un lien vers Alertes à venir. Voyons voir de quoi il retourne :

La société eEye Digital Securities estime que 30 jours devraient suffire à corriger un logiciel présentant un trou de sécurité. Aussi, quand ils trouvent une vulnérabilité, ils la communiquent au fournisseur de technologie et lui donnent 30 jours pour résoudre le problème. Passé cette période, eEye donne 30 jours supplémentaires pour présenter une solution (donc un total de 60 jours après la découverte de la vulnérabilité). Mais seulement voilà, certains font la sourde oreille. Seule méthode pour les faire s'activer un peu : publier une partie de l'information dès le premier jour, dans la rubrique Alertes à venir. C'est une page à garder sous le coude car elle évolue très fréquemment. Mais, amis utilisateurs d'IE, si vous avez le coeur fragile, évitez de cliquer sur le lien qui précède ! En effet, sur ce hit parade des bugs dont la correction tarde à venir, Microsoft occupe à lui seul les 6 premières places ! Microsoft, premier partout : aussi bien dans les tribunaux du monde entier, que dans les hit-parades de la honte ! Ahem, j'avais dis que je restais Zen. Je prends mes gouttes et tente de retrouver le fil de mon propos. eEye, disais-je, retourne le couteau dans la plaie en indiquant le nombre de machines potentiellement concernées et le nombre de jours de retard pour la rustine. On lit donc que Microsoft, a mis en grand danger (severity: High) 300 millions de machine environ, pendant 130 jours. Ah oui, tout de même !

De son coté, Symantec doit chercher les embrouilles avec Microsoft en chiffrant le nombre de vulnérabilités d'Internet Explorer dans un communiqué de presse en français :

Les vulnérabilités "clients" de Microsoft Internet Explorer sont en progression : de 20 au premier semestre 2003 à 34 au deuxième semestre de la même année, soit une augmentation de 70 %. Beaucoup de ces vulnérabilités permettent aux attaquants de contaminer les systèmes d'utilisateurs qui visitent des sites Web hébergeant des contenus malicieux, intentionnellement ou non. La principale source d'inquiétude à cet égard est la très grande popularité d'Internet Explorer.

J'ai trouvé cette info dans l'excellente alerte par mail de Google Actualités, et je l'ai transmise à l'AFUL, comme il se doit.

En conclusion, lisez et relisez le papier de l'AFUL sur MSIE et la sécurité, mais ça n'est pas sur la sécurité qu'il faut convaincre, et ce pour plusieurs raisons :

  • Mozilla n'est pas à l'abris de trous de sécurité (même si nous les corrigeons très rapidement)
  • Il vaut mieux convaincre sur les forces de Mozilla (multi-plate-forme, ergonomique, blocage des popups, onglets, antispam...) que sur les faiblesses d'IE : n'utilisons pas les méthodes nauséabondes telles que le FUD !