pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Comptage des failles: Le retour

Jeudi 16 avril 2009

Secunia vient de publier un rapport sur la sécurité des navigateurs en 2008. Certains se sont déjà jetés dessus pour clamer que Firefox est moins sûr que IE.

Voyons le graphe au cœur du problème:


Vu comme ça, Firefox tire la tronche. Sauf que ActiveX est une technologie spécifique à IE. Transférons donc les comptes correctement:

Ce qui donne:

Et là tout à coup, le comptage des bugs n'est plus en faveur de IE. Firefox est-il toujours le navigateur le moins sûr ? Tout est dans la manière de présenter ou interpréter les résultats, n'est-ce pas ?

Sans compter que je vous avais déjà expliqué pourquoi le comptage des bugs est une mauvaise manière de procéder. Il vaut mieux compter la durée pendant laquelle un utilisateur est exposé aux risques. Et là, c'est très différent:

Comment lire ce tableau ? Il faut compter le nombre de jour sur l'année 2008 pendant lesquels les utilisateurs étaient exposés à des risques.

  • IE: 294 jours (Dangereux 80% du temps) --- Mise à jour 9 juillet 2009: Ah non, finalement c'est 100% du temps pour 2008 !
  • Firefox: 101 jours (Dangereux 27% du temps)

Et encore, cela ne concerne que les failles publiées (et on sait que certains bugs sont parfois corrigés en interne chez Microsoft, sans publication officielle) et ne prend pas en compte la criticité des failles (Il y quand même une faille critique non corrigée pendant 110 jours pour IE).

En 2006, le même comptage de jours d'exposition avait donné:

  • IE: 284 jours (Dangereux 77% du temps)
  • Firefox: 9 jours (Dangereux 2% du temps)

Donc, je repose la question: Entre IE et Firefox, lequel est le moins sûr ? Je vous laisse tirer vos conclusions...


PS: L'équipe Mozilla commente le rapport de Secunia sur leur blog.

PS n°2: J'ai trouvé une excellente page qui compare les navigateurs en prenant en compte durées d'exposition, criticité et nombre de failles, en se basant sur les données de Secunia (les mêmes que ceux qui ont pondu le rapport ci-dessus). Je reproduis ici juste un graphe:


Graphe par David Hammond

Horizontalement, c'est le temps. Verticalement, c'est le nombre de failles critiques non corrigées (donc permettant le piratage de l'ordinateur). Moins il y en a, mieux c'est.
IE est en bleu. Je vous laissez juger quels navigateurs vous laissent le plus exposés aux risques.