Vous vous souvenez du film Les ripoux ? A un moment, Lhermitte propose d'embarquer un malfrat, et Noiret insiste pour le relâcher. La raison invoquée est que si on arrête le truand en question, "ça va faire monter les statistiques" et les deux flics seront montrés du doigt parce que la hiérarchie et l'opinion publique croiront que la délinquance est en augmentation dans le quartier. De fait, le quartier est plein de voyous, mais l'honneur est sauf et les statistiques sont flatteuses.
C'est un peu ce qui se passe avec les rustines de sécurité de Firefox : les équipes de la communauté recherchent activement les failles potentielles, les corrigent aussi rapidement que possible et communiquent sur le sujet (comme on est en droit de l'attendre d'un éditeur responsable). On devrait se féliciter d'une telle attitude, mais à chaque groupe de correction, les articles négatifs affluent... Par exemple, ZDNet.fr titre Douze nouvelles failles de sécurité dans Firefox.
Il convient de savoir, pour mieux cerner le problème, qu'aucun logiciel n'est sécurisé à 100%. C'est ce qu'explique Steven Vaughan-Nichols quand il écrit Linux n'est pas sûr. Le logiciel Libre n'est pas sûr. Windows n'est pas sûr. Aucun logiciel n'est sûr. C'est désagréable à entendre, mais c'est (malheureusement) vrai. On est en sécurité quand un logiciel est maintenu, et qu'on installe les nouvelles versions. Comme on dit dans l'industrie, la sécurité est un processus, pas un produit
. Et à ce jeu là, Mozilla est très fort... J'en veux pour preuve les travaux de Brian Krebs, qui écrit pour le Washington Post sur la sécurité informatique. Voici un extrait de son article intitulé 2005 Patch Times for Firefox and Internet Explorer :
J'ai décidé de me concentrer sur la comparaison entre Microsoft et Mozilla en terme de temps nécessaire pour que les éditeurs fournissent des mises à jour pour les défauts critiques de leurs navigateurs respectifs. Dans cet article, écrit au cours de l'année dernière, Mozilla a mis une moyenne de 21 jours avant de sortir des rustines pour Firefox, alors que Microsoft mettait 135 en moyenne pour régler les problèmes d'Internet Explorer. (...)
Il cite ensuite une étude d'une entreprise belge sur le sujet :
Leur analyse démontre qu'"une version complètement patchée d'Internet Explorer était non sécurisée 98% du temps en 2004. Pendant 200 jours (54% du temps) en 2004, il y avait un ver ou un virus en liberté capable d'utiliser l'une de ces failles non patchées". Pour Firefox, il y avait 56 jours en 2004 (15% du temps) où une faille connue n'était pas contrée par un patch, et zéro jours pendant lesquels un logiciel malfaisant était capable d'utiliser une de ces vulnérabilités.
Alors, quand Mozilla sort une version de maintenance qui vise à améliorer Firefox et à le sécuriser, est-ce une mauvaise nouvelle ? Est-ce que cela veut dire que Firefox n'est pas sécurisé ? Au contraire ! Chez Mozilla, on traque les bogues qui peuvent être néfastes à la sécurité, et on les corrige aussi vite que possible. Cela signifie que nos utilisateurs sont potentiellement vulnérables sur des périodes très courtes. Bien sûr, pour ceux qui ne voient pas plus loin que le bout de leur nez, Firefox paraît moins sécurisé. Mais dans la réalité, il l'est plus que ses concurrents, et nos utilisateurs sont bien mieux protégés. Et c'est cela qui compte avant tout, n'en déplaise aux "Ripoux" !
Mise à jour :
- Nicolas Hoffman publie un billet qui résume assez bien ma pensée : Mise au point sur la sécurité des navigateurs ;
- J'ai publié un billet qui fait suite à cet article : Sécurité informatique : les Ripoux contre-attaquent.