Ces jours-ci, Internet Explorer est descendu en flèche par les médias, c'est un fait. Est-ce justifié ?

D'après les chiffres Vulnerabilite.com (repris par Silicon.fr et Présence-PC), on peut considérer que c'est justifié. Jugez plutôt le nombre de vulnérabilités pour les différents navigateurs :

  • Internet Explorer : 235 (bizarre : Security Focus parlait de seulement 153 vulnérabilités) ;
  • Mozilla : 15 ;
  • Opera : 14 ;
  • Netscape (mais quelles versions ?) : 7 ;

Comme on dit sur parfois sur les champs de course, ya pas photo !

Mais la certains affirment que c'est la popularité du navigateur qui fait que les pirates s'attaquent à MSIE. Il est certain que ce facteur rentre en compte. Certains affirment, comme Présence-PC : si les concurrants (SIC) du fureteur de Microsoft avaient sa popularité, le nombre de leurs failles serait plus important. Même son de cloche chez Silicon.fr : Si un jour les logiciels concurrents prennent plus de poids, il est quasi certain que nombre de failles seront découvertes et exploitées sur ces derniers, ce qui pourrait soulager d'autant IE..

Seulement voilà, ça n'est pas le cas, et Eric Raymond l'explique très bien :

Si être exposé au monde était le principal facteur des problèmes de sécurité dans les logiciels, alors Apache aurait un nombre incroyable de fissures, de bogues et de trous, car comme je le disais, il est utilisé par environ 60% des sites Web dans le monde. Mais en fait, si vous regardez les statistiques, vous découvrirez que Microsoft IIS, qui est utilisé bien moins souvent que Apache, est piraté bien plus souvent. De ce fait, ça n'est pas la fréquence de déployement qui fait augmenter le nombre de bogues. C'est la vulnérabilité intrinsèque du logiciel aux problèmes de sécurité.

Comme on dit parfois dans les cours de mathématiques, CQFD !, d'autant que la récente attaque SCOB - JECT était lié à des failles d'Internet Explorer et de IIS ! Notons enfin la découverte de nouveaux trous de sécurité, aujourd'hui même ! Bref, c'est Belote, re-belote et 10 de der', comme on dit dans les cafés de province...

Mais revenosn à nos moutons : Mozilla est intrinsèquement mieux sécurisé car :

  • le code est revu et re-revu (mécanisme de review et super-review) ;
  • Les développeurs ne mettent pas en place de fonctionnalités non sécurisées sous pretexte que ça fait plaisir au marketing (et pour cause, le marketing chez Mozilla est quasiment inexistant, et quand je braille, les développeurs ne m'écoutent pas ;-) ) ;
  • Mozilla n'intègre pas les technologies les plus dangereuses qui sont à la source des principaux problèmes de sécurité de MSIE, dont ActiveX.

Encore une fois, cela ne veut pas dire que Mozilla n'aura jamais de trou de sécurité. En vérité, je peux même vous affirmer qu'il y en aura. Mais d'ici à ce qu'on arrive à égaler Internet Explorer et ses chiffres astronomiques...

Dans tous les cas, seul l'avenir le dira. Mais laissons aux navigateurs modernes leur présomption d'innocence...