lundi 18 avril 2005
Les prétentions sécuritaires de Mozilla en question
Peter P. Schifferli écrit : « Fred Langa, ancien rédacteur en chef de WinMag et actuel éditeur de la lettre de diffusion LangaList, compare IE et Firefox pour les vulnérabilités Internet dans un article du 17 avril d’InformationWeek. Il croit que le logiciel de Microsoft est approximativement équivalent en qualité aux produits open source. »
Langa conteste la conception commune que Mozilla Firefox est plus sûr que Microsoft Internet Explorer, en remarquant que Symantec a documenté plus de failles de sécurité dans les navigateurs de Mozilla que dans IE dans les six derniers mois de 2004. Il soutient que le plus faible nombre d’utilisateurs de Firefox masque son nombre de problèmes de sécurité et attaque aussi la notion que le logiciel open source est par nature plus sûr. Tous les logiciels, conclut-il, sont imparfaits.
La semaine dernière, IT Observer a publié un article du cofondateur et président de ScanSafe, Roy Tuvey, intitulé Mozilla : la lune de miel est finie. Tuvey soutenait que la meilleure reconnaissance de Firefox mène plus de hackers malveillants à attaquer le navigateur — et à réussir. « Les vulnérabilités qui sont apparues suggèrent que Mozilla n’est pas gérer pour offrir la sécurité qu’il a initialement eu l’air prêt à offrir », prévenait-il.
Alors que répond la fondation Mozilla ? Il y a quelques jours, le membre de l’équipe dirigeante de mozilla.org Gervase Markham a publié une déclaration du gourou de la sécurité de Mozilla Frank Hecker, qui soutenait que le nombre croissant d’attaques signifie juste que Firefox devient plus sûr puisqu’elles sont corrigées. Séparément, CNET News.com citait la présidente de la fondation Mozilla, Mitchell Baker, qui disait le mois dernier que Firefox est plus sûr qu’IE. Elle citait l’intégration d’IE avec Windows de Microsoft comme faiblesse majeure (ce qui a été fortement nié par le développeur d’IE Dave Massy, qui soutenait que l’intégration dans Windows n’est pas une menace). Le cynique pourrait faire remarquer que deux mises à jour de sécurité de Firefox ont été publiées depuis que Mitchell a fait ses commentaires.
Il y a beaucoup de questions ici. Mozilla est-il plus sûr qu’IE ? Quel navigateur a le plus de failles de sécurité et, plus important, lesquelles sont les plus graves ? IE est-il plus pris pour cible parce qu’il est plus populaire ? Un plus grand nombre d’attaques, paradoxalement, amène-t-il à un navigateur plus sûr au bout du compte ? Quel impact l’intégration d’IE dans Windows a-t-elle sur la sécurité ? Les logiciels libres sont-ils plus sûrs par nature ? Qui réagit à et corrige les failles de sécurité le plus rapidement ? Ce n’est pas un domaine simple.
Slashdot dispose actuellement d’une critique plutôt méprisante de l’article sur la sécurité de Firefox de Fred Langa. On pourrait soutenir qu’un tel rejet réflexe illustre et valide les opinions de Langa. Quelque soit ce que vous pensez de la chronique de soutenir avec ses prémisses que tout logiciel est imparfait. Que Firefox soit plus ou moins sûr qu’IE, pourtant, est un sujet pour des débats enflammés.
Mise à jour : MozillaNews a publié un article avec des réponses à certaines des déclarations faites par Langa dans sa chronique.
En ce qui me concerne, depuis que dans mon association (350 salariés) j’ai supprimé IE + Outllook par Mozilla ou FireFox + Thunderbird, j’ai réduit mes interventions suite à des problèmes de virus, de vers, de spyware, de dialers… de 99% ! Les faits sont là ! Le reste n’est que pur spéculation.
Idem, un parc de 400 machines avec une migration vers FireFox/ThunderBird et la trés trés grande majorité des pb liés à la sécurité en moins.
Il ne faut pas tout mélanger cependant,
l’intéret d’utiliser des solutins OpenSource n’est pas simplement lié au fait qu’ils soit plus « surs », mais bien aux faits que:
– le code OpenSource est public donc on ne cache pas les éventuels défauts ( ce qui n’est pas le cas des solutions propriétaires),
– les défauts découverts sont rapidement corrigées ( dans la demi-heure ! car effectivement un programme sans bug n’existe tout simplement pas ),
– le code ne fait pas partie du tronc commun système et est portable ( ce qui n’est pas le cas de solutions propriétaires ),
– FireFox et ThunderBird sont des produits intéressants par le fait qu’ils sont « modernes » ( gestion par algorithme bayésion pour l’analyse anti-spam, respect des normes RFC qui « donne l’impression que le navigateur ne fonctionne pas avec tous les site vu que ces sites ne les respectent pas, anti-popup poussé, gestion des extensions sympathique et j’en passe … ).
Pourquoi défendre dans ce cas à corps perdu un produit pour lequel Microsoft à réfuser de corriger 37 failles de sécurité majeurs ( refus car propriétaire et par définition intouchable ) ?
Pourquoi refuser de « changer » pour un produit de qualité identique pour ne pas dire bien supérieure ?
Par esprit « moutonier » ou par peur du changement ?
Après la lutte des pros/anti Microsoft est rassurante car elle démontre l’existance d’une véritable conccurence ce qui est plaisant 😀
Pour info, je suis Certifié Microsoft ( examen 70-064 ) mais me refuse de me mentir et de mentir à mon entourage en ce qui concerne la qualité des produits libres !
Je trouve insolent le fait de nier la qualité des produits sans les avoir essayer, par réflexe conditionné.