Un lecteur (merci OJ !) m'envoie un lien vers un article de VnuNet intitulé La nouvelle version de Firefox remporte un succès d'estime. J'ai relevé quelques incohérences dans cet article, et j'estime que cela mérite une réponse.
Passons outre le titre qui, en mentionnant un succès d'estime
, contredit la première phrase de l'article : Un indéniable succès
. (Il faut savoir que bien souvent, ça n'est pas le journaliste qui fait le titre de son article).
Là où l'article me démange, c'est quand il aborde le sujet de la sécurité. Voyons voir :
Mais avec sa popularité grandissante, Firefox risque d'être confronté aux problèmes que rencontre IE : la gestion des failles de sécurité. Si IE est le navigateur le plus attaqué, ce n'est pas tant du fait de ses technologies perméables (VBScript, ActiveX...) que de son écrasante popularité.
Il est certain que la popularité d'un logiciel augmente les risques d'attaque par des script kiddies (comprendre : des boutonneux qui ont fait une croix sur leur vie sexuelle avant même qu'elle ne commence). Pourtant, ça n'est pas tout. Il faut prendre en compte le niveau intrinsèque de sécurité du logiciel. Si la théorie ci-dessus était vérifiée, alors Apache (serveur Web Libre), avec ses 67% de parts de marché, serait bien plus souvent piraté que Microsoft IIS. Pourtant, c'est exactement le contraire.
(...) La fondation Mozilla a préféré prendre le problème de manière préventive en invitant les internautes à déceler les failles de sécurité - et en les récompensant. Et ça marche. Récemment, une dizaine de failles ont été décelées (et corrigées à travers les nouvelles versions des applications) dans le cadre du Bug Bounty Program.
Sur cet aspect, nous sommes bien d'accord.
Une stratégie à double tranchant, qui pourrait se retourner contre l'éditeur : dans un récent rapport sur les attaques virales du premier semestre 2004, Symantec estimait à moins de six jours le délai constaté entre la découverte d'une brèche système et les premières attaques.
Il semble que l'auteur de l'article ait mal compris ce qu'est ce Bug Bounty Program. En substance, il faut que le trou de sécurité reste confidentiel, le temps qu'il soit corrigé, si l'auteur veut toucher la prime.
Ce qui impose aux éditeurs un rythme soutenu des mises à jour (et des tests qui doivent les valider). La fondation Mozilla sera-t-elle en mesure de suivre le rythme ?
Justement, à propos des tests de validation des mises à jour, des milliers de personnes téléchargent nos compilations nocturnes. C'est bien cela qui fait l'une des forces de logiciels Libres. (Sans compter nos procédures de test, de review et super-review, bref tout ce qui fait la qualité du code.
D'autre part, cette stratégie nécessite que les utilisateurs appliquent scrupuleusement les mises à jour. Un problème que connaît bien Microsoft depuis deux ans.
Le problème de l'éducation des utilisateurs est effectivement fondamental. C'est pourquoi Firefox intègre justement depuis la Preview Release un mécanisme qui prévient l'utilisateur de l'arrivée de nouvelles versions.
Je terminerais cette réponse à l'article avec mon disclaimeur (oui, c'est un anglicisme à deux balles). Il y aura des trous de sécurité dans Firefox, c'est extrèmement probable, mais :
- Nous avons conçu notre produit de façon à ce qu'il y en ait le moins possible (pas d'ActiveX chez nous, merci), et qu'ils soient découverts avant la sortie du produit (merci l'Open Source) ;
- S'il y en a, on essaye de les corriger avant qu'ils ne deviennent publics, grâce au Bug Bounty, limitant ainsi les risques de Zero-Day Exploit.
