Il y a quelques jours, plusieurs failles ont été révélées concernant trois des principaux navigateurs internet : Internet Explorer 8, Firefox 3 ainsi que Safari. En deux jours, Mozilla corrige les failles présentes sur Firefox 3 et lance un défi à Microsoft : corriger les failles de leur navigateur avant l'année prochaine...

Le Pwn2own, une des sessions de la conférence sur la sécurité informatique CanSecWest a permis de découvrir plusieurs failles dans les trois navigateurs web principaux : Internet Explorer 8, Firefox 3 et Safari mais également Chrome, le dernier né de Google.

Firefox : la course contre la montre engagée

Publiée le 27 Mars 2009, Firefox 3.0.8 corrige deux failles de sécurité considérées comme "critiques". A commencer par celle découverte lors du Pwn2own mais également une lacune dans la sécurité permettant à un individu malveillant d'éxecuter du code sur une machine distante par le biais d'un code XLS (eXtensible StyleSheet Language). C'est donc avec quatre jours d'avance sur la planning que Mozilla publie le correctif (initialement prévu pour le 1er Avril).

Mozilla vs Microsoft : le chrono est parti !

Récement, Jean-Philippe Courtois - patron de Microsoft Europe - déclarait à propos d'Internet Explorer 8 (cracké lors de la même session que son rival, Firefox) :

« On a des réactions extrêmement rapides en termes de corrections de vulnérabilité. »

Aussitôt, Mozillla, par l'intermédiaire de son président européen, décide de mettre Microsoft au défi, c'est ainsi que Tristant Nitot répond sur son blog :

« Soit. Je vous propose donc une petite expérience... [...] Je déclenche le chrono pour voir combien de temps il faut à Microsoft pour corriger leur problème, qui a été trouvé en même temps que celui de Firefox. On va bien voir ce qu'ils entendent par "extrêmement rapide", chez Microsoft.
Je me demande si ça sera corrigé lundi ou mardi. Ou le mois prochain. Ou l'année prochaine... Et puis on va voir combien de temps les gens prennent pour le mettre à jour.
J'espère qu'ils ont changé fait des progrès chez Microsoft. Sur l'année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. Que les choses soient claires : Firefox aussi a eu des failles en 2006. Mais les utilisateurs n'ont été exposés que 9 jours.
Firefox 3.0.8 est officiellement sorti à 15h45 heure de Californie, le 27/03/2009. Tic. Tac. Tic. Tac. »

A l'heure actuelle, aucune réponse n'a été apportée par Microsoft et encore moins le moindre octet de correction des failles.

Faut-il imposer les mises à jour ?

Le problème que soulève cette question est très complexe. A la différence de Google, imposant les mises à jour pour son navigateur, Chrome, Mozilla semble se diriger dans une autre voix.

« Faut-il imposer les mises à jour ? Le problème est complexe.[...] C'est à double tranchant : plus de sécurité, mais moins de liberté. [...] C'est très facile de décréter que toutes les mises à jour sont critiques. De fait, c'est presque le cas chez Mozilla ! Quand la 3.0 est sortie, elle n'était pas critique, mais c'était une exception, car toutes les autres (3.0.1, 3.0.2, etc.) sont des mises à jour de sécurité. C'est pour ça qu'on n'incite pas les utilisateurs de le 2.0.0.x à la mise à jour vers 3.0 pendant plusieurs mois. » poursuit Tristan Nitot.

La bataille entre Microsoft et Mozilla n'est pas prête de s'estomper. Pendant ce temps là, le "chrono" tourne toujours...

Posté le 03 Avril 2009 à 20h32 par Matt L.