Mise au point sur la sécurité des navigateurs

Mise au point sur la sécurité des navigateurs (le 7 juin 2006)

J'entends souvent de nombreuses bêtises et autres raccourcis un peu rapides sur le sujet de la sécurité (principalement des navigateurs, mais des logiciels en général), faisons donc un petit point sur les éléments à prendre en compte. Vous verrez que certaines idées toutes faites peuvent être bien à côté de la plaque. Listons ces éléments :

  • La sécurité intrinsèque du logiciel : est-ce que le soft a été codé avec les pieds ? Le code est-il souvent examiné ? Par des gens compétents ? Les failles sont-elles activement recherchées ? Est-il techniquement aisé de le patcher en cas de découverte de faille ? (ce qui facilite le point suivant...) etc...
  • La rapidité de réaction face à une faille : quand une faille est découverte, est-elle rapidement patchée ? Ou mieux, les patchs arrivent-ils dans la mesure du possible avant que les failles ne soient révélées publiquement ?
  • Le niveau d'intégration au système : si le logiciel/navigateur est très fortement intégré à l'OS, une faille peut avoir des résultats plus gênants. Ce point peut d'ailleurs être considéré comme faisant partie de la sécurité intrinsèque du soft.
  • Le niveau de diffusion d'un logiciel : beaucoup de contre-vérités sont souvent dites à ce sujet. Le niveau de diffusion PEUT impacter la sécurité (du moins la découverte de failles), un logiciel très connu a plus de chance d'être la cible d'attaques (potentielles), MAIS ce n'est pas NECESSAIREMENT synonyme de problèmes de sécurité. Si le logiciel a une très bonne sécurité intrinsèque, sa large diffusion n'impactera pas sa sécurité. L'argument typique "tel logiciel sera moins sécurisé parce qu'il est plus connu" est faux. L'exemple type est le serveur Apache, c'est le plus utilisé des serveurs, mais ce n'est pas le plus souvent piraté, car il a une bonne sécurité intrinsèque.

Tordons le cou à une autre idée reçue : aucun logiciel ou OS n'a une sécurité parfaite, cette idée est à bannir. Donc quand on évalue la sécurité d'un logiciel, il faut prendre en compte tous ces éléments, sachant que chaque point peut impacter un autre (le manque de sécurité intrinsèque peut gêner la rapidité de mise au point de mises à jours par exemple).

L'interface chaise-clavier, autrement dit l'utilisateur peut également être source de problèmes, le meilleur logiciel le mieux sécurisé au monde n'empêchera pas l'utilisateur de cliquer sur une arnaque, mais là on sort du cadre de la sécurité du logiciel proprement dite !

Voilà pourquoi je préfère par exemple Firefox à Internet Explorer sur le point de la sécurité. Je ne dis pas cela parce que c'est la mode de taper sur Microsoft mais mes arguments sont fondés : les failles sont patchées rapidement, Mozilla communique sur ses processus qualité (le code est revu et re-revu, mécanisme de review et super-review), et la qualité intrinsèque du produit est bonne (on n'inclut pas de choses dangereuses sous prétexte que c'est la mode).

Permalien :

Flux RSS des commentaires de ce billet : https://www.nicolas-hoffmann.net/rss/commentaires.php?id_news=955


Aucun commentaire pour le moment.

Ajouter un commentaire









L'option « Se souvenir de mes informations » utilise un cookie, elle ne sera pas effective si vous les avez désactivés.

Les balises HTML ne seront pas interprétées, il est donc inutile d'en mettre. Par contre, les sauts de lignes de votre commentaire seront pris en compte, ne mettez donc pas de <br />, le site s'en chargera. Bien sûr, un commentaire vide ne sera pas ajouté !

L'auteur (autrement dit moi) n'est pas responsable des éventuelles fautes d'orthographe dans les commentaires.
Tout propos raciste et/ou insultant sera supprimé sans préavis. Les commentaires hors de propos destinés à faire de la pub pour des sites seront également supprimés sans ménagement.

Je vous prie de me pardonner, j'ai énormément de mal à lire le "langage" SMS, il n'est donc pas du tout interdit de s'abstenir de l'utiliser. Qui plus est, vous avez sûrement un clavier digne de ce nom et pas celui d'un téléphone portable. Ne vous gênez pas pour utiliser l'option "Prévisualiser" si vous voulez vous relire avant de poster, je vous en remercie d'avance !

Cet article a été écrit par Nicolas Hoffmann.

Retour aux nouvelles
Ce site est la propriété de Nicolas Hoffmann.
Tous droits réservés, les textes du blog sont publiés sous licence CC BY-NC-SA.