Udostępnij za pośrednictwem


Navigateurs Web et sécurité : faire le bon choix et comparer ce qui est comparable ! [Mise à jour 1er juillet 2011]

[Note préalable : ceci est une mise à jour d’un article précédent. Pour ceux qui l’ont déjà lu, la mise à jour concerne le recensement des bulletins de sécurité et des vulnérabilités avec l’ajout de nouvelles versions des navigateurs, plus quelques ressources complémentaires]

Sur la sécurité du navigateur, il est commun d'entendre tout et son contraire. Les afficionados du navigateur X ne seront jamais à cours d'arguments pour critiquer les navigateurs Y ou Z.

La seule chose sur laquelle tout le monde devrait être d'accord, c'est qu'il faut absolument utiliser un navigateur récent car ce sont les dernières générations qui disposent des mécanismes de sécurité les plus efficaces pour contrer les (trop nombreuses) menaces venant du Web.

Donc laissez Internet Explorer 6.0 aux collectionneurs (ne suivez pas l’exemple du gouvernement britannique cf. https://tinyurl.com/3axd3tw) et migrez vers une version plus récente (ou un navigateur alternatif récent). Ne vous obstinez pas à rester sur une version qui finira par ne plus être supportée (fin du support d’Internet Explorer 6 en 2014). Il faut cesser la politique de l’autruche et réfléchir dès aujourd’hui à la migration du navigateur (plus d’informations sur ce sujet : https://blogs.msdn.com/b/iefrance/archive/2010/07/28/ressources-du-livemeeting-ie8-pour-l-entreprise.aspx). En plus, ce sera toujours une partie de votre projet de migration du système d’exploitation du poste client qui sera faite (IE 8 étant le navigateur par défaut sur Windows 7 et IE 9 étant une vraie belle amélioration).

Il est toujours possible de faire une liste exhaustive des différents mécanismes de sécurité de tel ou tel navigateur sachant qu'au final, quand on compare ce qui est comparable (des navigateurs sortis dans une même période), les différences sont assez minimes.

Voici donc une liste (non exhaustive) de documents ou articles :

-> Mécanismes de sécurité d'Internet Explorer 8.0 / 9.0

Présentation de la sécurité Internet Explorer 8.0
https://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspx

Internet Explorer 8 sous Windows Vista & Windows 7 à dispose d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>\Windows\Temp\Temporary Internet Files. Ce mécanisme IEPM (Internet Explorer Protected Mode) constitue la base du sandboxing (plus d’informations sur les mécanismes de sandboxing IE vs Chrome plus bas)

A Safer Online Experience
https://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDF

Le Filtre SmartScreen dans Internet Explorer 8 / 9 : https://blogs.technet.com/b/stanislas/archive/2009/11/13/filtre-smartscreen-dans-internet-explorer-8-0-partie-2-parametrage-via-gpo.aspx

Le SmartScreen Application Reputation dans Internet Explorer 9.0 : https://blogs.technet.com/b/stanislas/archive/2010/10/18/ie-9-plus-de-securite-lors-des-telechargements-avec-smartscreen-application-reputation.aspx

ActiveX Filtering dans Internet Explorer 9 : https://blogs.technet.com/b/stanislas/archive/2011/03/09/internet-explorer-9-activex-filtering.aspx

-> Mécanismes de sécurité de Firefox

 <blockquote>     <p><a href="https://www.mozilla.com/en-US/firefox/features/#advancedsecurity">https://www.mozilla.com/en-US/firefox/features/#advancedsecurity</a>         <br><a href="https://www.mozilla.org/security/">https://www.mozilla.org/security/</a>         <br><a href="https://blog.mozilla.com/security/">https://blog.mozilla.com/security/</a></p>   </blockquote>    <p>-&gt; M&eacute;canismes de s&eacute;curit&eacute; de Google Chrome </p>    <blockquote>     <p><a href="https://sites.google.com/a/chromium.org/dev/Home/chromium-security">https://sites.google.com/a/chromium.org/dev/Home/chromium-security</a> </p>      <p><a href="https://www.google.com/support/chrome/bin/answer.py?hl=en&amp;answer=95572">https://www.google.com/support/chrome/bin/answer.py?hl=en&amp;answer=95572</a>         <br><a href="https://blog.chromium.org/2010/01/security-in-depth-new-security-features.html">https://blog.chromium.org/2010/01/security-in-depth-new-security-features.html</a>         <br><a href="https://www.google.com/support/chrome/bin/topic.py?hl=en&amp;topic=14666">https://www.google.com/support/chrome/bin/topic.py?hl=en&amp;topic=14666</a> </p>      <p>Google Chrome dispose de m&eacute;canismes de sandboxing plut&ocirc;t int&eacute;ressants. Pour plus d&rsquo;informations sur ces m&eacute;canismes mais aussi sur les m&eacute;canismes de sandboxing d&rsquo;IE, je vous encourage la lecture de la pr&eacute;sentation <a href="https://www.blackhat.com/html/bh-eu-11/bh-eu-11-briefings.html#Keetch">Escaping from Microsoft Windows Sandboxes</a> jou&eacute;e par <a href="https://www.blackhat.com/html/bh-eu-11/bh-eu-11-briefings.html#Keetch">Tom Keetch</a> lors du BlackHat Europe 2011</p>   </blockquote>    <p>Concernant les m&eacute;canismes de protection anti-phishing voire antimalware, j&rsquo;ai &eacute;crit un article r&eacute;sumant les m&eacute;canismes disponibles dans Internet Explorer 8, Mozilla Firefox et Google Chrome : <a href="https://blogs.technet.com/b/stanislas/archive/2010/03/23/navigateurs-web-tour-d-horizon-des-m-canismes-de-protection-anti-phishing-et-anti-malware.aspx">https://blogs.technet.com/b/stanislas/archive/2010/03/23/navigateurs-web-tour-d-horizon-des-m-canismes-de-protection-anti-phishing-et-anti-malware.aspx</a> </p>    <blockquote>     <p><em>Note compl&eacute;mentaire &agrave; mon article pr&eacute;c&eacute;dent </em>: Internet Explorer (depuis sa version 8) int&egrave;gre au sain du filtre Smartscreen un syst&egrave;me de r&eacute;putation permettant de bloquer le t&eacute;l&eacute;chargement de fichiers r&eacute;put&eacute;s dangereux ou provenant de sources r&eacute;put&eacute;es pour v&eacute;hiculer des codes malveillants. Firefox en standard (= hors plug-ins tiers) n&rsquo;int&egrave;gre pas ce type de m&eacute;canisme. Google a annonc&eacute; la disponibilit&eacute; d&rsquo;<a href="https://googleonlinesecurity.blogspot.com/2011/04/protecting-users-from-malicious.html">un m&eacute;canisme similaire dans la version 12 de Chrome</a>&nbsp;</p>   </blockquote>    <p>Beaucoup de personnes argumentent (ou ont argument&eacute;es) que la s&eacute;curit&eacute; d'un navigateur se mesure au nombre de vuln&eacute;rabilit&eacute;s d&eacute;couvertes ou au nombre de bulletins de s&eacute;curit&eacute; ou encore au nombre de failles d&eacute;couvertes... </p>    <p><strong>M&ecirc;me si c'est un indicateur, cela ne peut pas refl&eacute;ter de mani&egrave;re s&ucirc;re la qualit&eacute; de tel ou tel produit.</strong> En effet, la popularit&eacute; d'un navigateur implique forc&eacute;ment un int&eacute;r&ecirc;t accru des chercheurs en s&eacute;curit&eacute; (mais aussi de certains cybercriminels) qui vont investir plus de moyens pour essayer de d&eacute;couvrir la pr&eacute;sence de vuln&eacute;rabilit&eacute;s. Un navigateur utilis&eacute; par 1000 personnes peut donc apparaitre comme sans vuln&eacute;rabilit&eacute;s connues si personne (&agrave; l'exception de ses d&eacute;veloppeurs) n'a pass&eacute; du temps &agrave; l'&eacute;tudier. </p>    <p>Tout logiciel peut avoir des vuln&eacute;rabilit&eacute;s ou des erreurs dans son code car &agrave; l'origine de celui-ci, il y a un d&eacute;veloppeur qui reste avant tout un humain pouvant faire des erreurs. </p>    <p>Pour d&eacute;terminer et comparer le nombre de vuln&eacute;rabilit&eacute;s ou de bulletins de s&eacute;curit&eacute; d'un navigateur, il est possible de se baser sur les informations pr&eacute;sent&eacute;es sur le site de l'&eacute;diteur. Dans le cas des trois navigateurs les plus utilis&eacute;s (Microsoft Internet Explorer, Mozilla Firefox &amp; Google Chrome), les informations sont aux adresses suivantes : </p>    <p>Internet Explorer : <a href="https://www.microsoft.com/technet/security/current.aspx">https://www.microsoft.com/technet/security/current.aspx</a> (dans le menu d&eacute;roulant, choisir la version d'IE concern&eacute;e) </p>    <p><img src="https://farm3.static.flickr.com/2697/4389736536_3e91048d13.jpg">&nbsp;</p>    <p>Mozilla Firefox : <a href="https://www.mozilla.org/security/known-vulnerabilities/">https://www.mozilla.org/security/known-vulnerabilities/</a> </p>    <p><img src="https://farm3.static.flickr.com/2761/4388967579_a30c66e755.jpg"></p>    <p>Google Chrome / Chromium : <a href="https://code.google.com/p/chromium/issues/list?can=1&amp;q=status:fixed%20label:security&amp;sort=-id&amp;colspec=ID%20Stars%20Pri%20Area%20Feature%20Type%20Status%20Summary%20Modified%20Owner%20Mstone%20OS">https://code.google.com/p/chromium/issues/list?can=1&amp;q=status:fixed%20label:security&amp;sort=-id&amp;colspec=ID%20Stars%20Pri%20Area%20Feature%20Type%20Status%20Summary%20Modified%20Owner%20Mstone%20OS</a> </p>    <p><img src="https://farm5.static.flickr.com/4143/4875865882_7cd5fbff4d_z_d.jpg"></p>    <p>Le Blog de Google Chrome est &eacute;galement une bonne source d&rsquo;information : <a href="https://googlechromereleases.blogspot.com">https://googlechromereleases.blogspot.com</a> </p>    <p><img src="https://farm5.static.flickr.com/4002/5147651203_e02e231d2b_z_d.jpg">       <br>      <br>Reste que l&agrave; encore, la m&eacute;fiance vis &agrave; vis des &eacute;diteurs poussent de nombreuses personnes &agrave; argumenter que toutes les vuln&eacute;rabilit&eacute;s ne sont pas d&eacute;clar&eacute;es officiellement par l'&eacute;diteur ou pas comptabilis&eacute;es correctement. On entre ici dans un second d&eacute;bat qui est l'utilisation du nombre de vuln&eacute;rabilit&eacute;s versus le nombre de bulletins de s&eacute;curit&eacute; (un bulletin pouvant couvrir plusieurs vuln&eacute;rabilit&eacute;s). </p>    <p>Pour &ecirc;tre ind&eacute;pendant des donn&eacute;es officielles de chaque &eacute;diteur, il est &eacute;galement possible d'utiliser les donn&eacute;es fournies par des soci&eacute;t&eacute;s ou sites web ind&eacute;pendants qui g&egrave;rent eux-m&ecirc;mes les vuln&eacute;rabilit&eacute;s ou avis de s&eacute;curit&eacute;. Parmi ces sites, un des plus complets est Secunia &agrave; partir duquel je vais extraire les donn&eacute;es concernant nos trois navigateurs. </p>    <p>Note : <font color="#c0504d">certaines informations de Secunia peuvent et sont parfois contest&eacute;es (par les &eacute;diteurs et/ou les experts en s&eacute;curit&eacute;).</font> </p> </font><p><img src="https://farm6.static.flickr.com/5068/5889971271_ff7906a106_b_d.jpg">

Télécharger cette image en qualité originale : https://farm6.static.flickr.com/5068/5889971271_50d3224eac_o_d.png

Le graphique précédent (mise à jour à la date du 1er juillet 2011) dans lequel les navigateurs sont classés par ordre chronologique (du plus ancien IE6 au plus récent Mozilla Firefox 5.0) permet très bien de voir qu’il ne faut vraiment pas comparer des navigateurs de générations différentes :-)

Dans le détail nous avons donc les informations suivantes:

Internet Explorer 6.0 (supporté par son éditeur) : https://secunia.com/advisories/product/11/?task=statistics
Sortie avec XP en octobre 2001 (XPSP2 = aout 2004)
153 Avis de sécurité de Secunia
246 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=11

Firefox 1.x (n’est plus supporté par la Fondation Mozilla): https://secunia.com/advisories/product/4227/?task=statistics
Firefox 1.0.x sorti le 9 novembre 2004
45 Avis de sécurité de Secunia
209 Vulnérabilités

Internet Explorer 7.0 (supporté par son éditeur) : https://secunia.com/advisories/product/12366/?task=statistics
Sortie avec Vista le 19 octobre 2006 (même période que Firefox 2.0)
56 Avis de sécurité de Secunia
172 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=12366

Firefox 2.x (n’est plus supporté par la Fondation Mozilla): https://secunia.com/advisories/product/12434/?task=statistics
Firefox 2.0.0.x sorti le 24 octobre 2006
29 Avis de sécurité de Secunia
154 Vulnérabilités
graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=12434

Firefox 3.0.x (n’est plus supporté par la Fondation Mozilla) : https://secunia.com/advisories/product/19089/?task=statistics
Firefox 3.0.0.x sorti le 17 juin 2008
24 Avis de sécurité de Secunia
161 Vulnérabilités
graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=19089

Internet Explorer 8.0 (supporté par son éditeur) : https://secunia.com/advisories/product/21625/?task=statistics
Sortie le 19 mars 2009
Sortie avec Windows 7 en aout 2009
24 Avis de sécurité de Secunia
98 Vulnérabilités
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=21625

Google Chrome 2.X (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/25469/
Sortie : 21 mai 2009
5 Avis de sécurité de Secunia
10 Vulnérabilités
Non patché (pour Secunia) : 20% (1 sur 5)

Firefox 3.5.x (supporté par la Fondation Mozilla): https://secunia.com/advisories/product/25800/?task=statistics
Sortie Firefox 3.5.0.x le 30 juin 2009
19 Avis de sécurité de Secunia
161 Vulnérabilités
Non patché (pour Secunia) : 0%
Graphe criticité : https://secunia.com/advisories/graph/?type=cri&period=all&prod=25800

Google Chrome 3.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/25720/
Sortie : 15 septembre 2009
5 Avis de sécurité de Secunia
16 Vulnérabilités

Firefox 3.6.x (supporté par la Fondation Mozilla): https://secunia.com/advisories/product/28698/
Sortie Firefox 3.6.x le 21 janvier 2010
14 Avis de sécurité de Secunia
122 Vulnérabilités

Google Chrome 4.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : https://secunia.com/advisories/product/28713/
Sortie : 25 janvier 2010
6 Avis de sécurité de Secunia
35 Vulnérabilités

Google Chrome 5.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/30134/
Sortie : 25 mai 2010
7 Avis de sécurité de Secunia
56 Vulnérabilités

Google Chrome 6.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/31928/
Sortie : 2 septembre 2010
3 Avis de sécurité de Secunia
20 Vulnérabilités

Google Chrome 7.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/32718/
Sortie : 20 octobre 2010
3 Avis de sécurité de Secunia
23 Vulnérabilités

Google Chrome 8.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/33215/
Sortie : 3 décembre 2010
1 Avis de sécurité de Secunia
3 Vulnérabilités

Google Chrome 9.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/34150/
Sortie : 3 février 2011
3 Avis de sécurité de Secunia
58 Vulnérabilités

Google Chrome 10.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): https://secunia.com/advisories/product/34532/
Sortie : 9 mars 2011
5 Avis de sécurité de Secunia
33 Vulnérabilités

Internet Explorer 9.0 (supporté par son éditeur) : https://secunia.com/advisories/product/34591/
Sortie le 19 mars 2011
1 Avis de sécurité de Secunia
11 Vulnérabilités

Firefox 4.0 (n’est plus supporté par la Fondation Mozilla): https://secunia.com/advisories/product/34777/
Sortie Firefox 4.0 le 22 mars 2011
2 Avis de sécurité de Secunia
14 Vulnérabilités

Google Chrome 11.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : https://secunia.com/advisories/product/35311/
Sortie : 13 mai 2011
4 Avis de sécurité de Secunia
30 Vulnérabilités

Google Chrome 12.x (supporté par son éditeur) : https://secunia.com/advisories/product/36023/
Sortie : 8 juin 2011
2 Avis de sécurité de Secunia
8 Vulnérabilités

Firefox 5.0 (supporté par la Fondation Mozilla): https://secunia.com/advisories/product/36309/
Sortie Firefox 5.0 le 21 juin 2011
0 Avis de sécurité de Secunia
0 Vulnérabilités

Note : Dans Secunia.com, les vulnérabilités de Google Chrome sont comptabilisées version par version et ne sont pas rétroactives (= comptées) pour les versions antérieures (ni corrigées d’ailleurs par Google car seule compte la version en cours). De même certaines personnes argumentent que le numéro de version de Chrome n’a pas d’importance (même si du point de vue marketing c’est l’inverse tant cela génère des articles dans la presse en ligne) car il est en perpétuelle évolution (rappel : L’équipe de développement de Chromium a annoncé la sortie d’une nouvelle version stable du navigateur toutes les 6 semaines afin d’être “plus agile” cf. https://blog.chromium.org/2010/07/release-early-release-often.html. Les administrateurs système en entreprise qui ont encore de l’Internet Explorer 6 ou 7 dans leur parc apprécieront certainement, même si je pense qu’il serait quand même temps de faire une mise à jour vers une version plus récente (pour des raisons de sécurité, performances, support des standards…)

La Fondation Mozilla vient d’opter pour un système de “versioning” similaire à celui Google Chrome/Chromium et prévoit désormais de sortir 4 versions “majeures” par an du navigateur Firefox. Au delà de cette approche “plus agile”, la notion de support des anciennes versions a été également revue radicalement :

  • Firefox 3.5 et 3.6 sont encore supportés et obtiennent encore des mises à jour de sécurité (à la date de cet article)
  • Firefox 4.0.x n’est plus supporté (soit 3 mois après sa disponibilité en version finale)
  • Firefox 5.0.x intègre les mises à jour de sécurité nécessaires/manquantes à Firefox 4.0.x

Cette nouvelle stratégie de la Fondation Mozilla ne plait pas vraiment aux entreprises qui n’ont pas la souplesse d’un particulier concernant les changements rapides de versions. Quelques réactions à lire sur ce sujet :

Informations complémentaires sur les navigateurs dans le monde de l’entreprise :

Du coup si on cumule les chiffres de Secunia pour les versions de Chrome à partir de Chrome 2 (qui est sorti peu après Internet Explorer 8 et Firefox 3.5), on obtient des chiffres “plus effrayants”. N’hésitez pas à me donner votre avis sur ce mode de calcul (via les commentaires ou via le formulaire de contact ici en évitant les commentaires relevant du trolesque :-)) si besoin.

Et si on cumule les chiffres de Secunia pour les versions de Chrome à partir de Chrome 10 (qui est sorti peu avant Internet Explorer 9 et Firefox 4.0/5.0), on obtient ceci :

Point complémentaire important à souligner en terme de sécurité, c’est la gestion des composants additionnels au navigateur tels que Acrobat Flash, Acrobat Reader, Apple Quicktime, Realtime…. Ces composants deviennent aujourd’hui une cible intéressante et un vecteur de menaces non négligeable pour les Systèmes d’Information. Si on se réfère au Rapport Microsoft sur les données de sécurité Volume 9 (juillet à décembre 2009), on constate à quel point les plug-ins aux navigateurs sont une cible de prédilection pour infecter les ordinateurs.

Note : Le rapport est téléchargeable en français ou en anglais à l'adresse suivante : https://www.microsoft.com/france/securite/sir.aspx

Apple QuickTime 6.x https://secunia.com/advisories/product/810/
7 avis de sécurité de Secunia
21 vulnérabilités

Apple QuickTime 7.x : https://secunia.com/advisories/product/810/
28 avis de sécurité de Secunia
152 vulnérabilités

Microsoft Silverlight 1.x : https://secunia.com/advisories/product/16105/
0 avis de sécurité de Secunia
0 vulnérabilité

Microsoft Silverlight 2.x : https://secunia.com/advisories/product/20227/
2 avis de sécurité de Secunia
3 vulnérabilités

Microsoft Silverlight 3.x : https://secunia.com/advisories/product/25996/
1 avis de sécurité de Secunia
2 vulnérabilités

Microsoft Silverlight 4.x : https://secunia.com/advisories/product/28947/
1 avis de sécurité de Secunia
1 vulnérabilité

Adobe Acrobat 8.x : https://secunia.com/advisories/product/12256/
17 avis de sécurité de Secunia
224 vulnérabilités

Adobe Acrobat 9.x : https://secunia.com/advisories/product/20492/
17 avis de sécurité de Secunia
227 vulnérabilités

Acrobat Flash Player 9.x : https://secunia.com/advisories/product/11901/
13 avis de sécurité de Secunia
82 vulnérabilités

Acrobat Flash Player 10.x : https://secunia.com/advisories/product/20166/
15 avis de sécurité de Secunia
93 vulnérabilités

Il convient donc de traiter ces composants avec la même rigueur (voire plus encore) que le navigateur en terme de gestion des mises à jour.

A noter : concernant Adobe, la signature d'un accord avec Microsoft afin de mettre en oeuvre une collaboration plus efficace destinée à mieux protéger les utilisateurs contre les menaces en ligne

Microsoft, Adobe Collaborate to Protect Against Online Threats
https://www.microsoft.com/presspass/press/2010/jul10/07-28MSBlackhatPR.mspx

Et pour ceux qui n’ont pas (encore) lancé un chantier pour la gestion des mises à jours dans leur entreprise, je vous encourage quelques lectures sur le sujet :-)

- Stanislas Quastana -