Brian Krebs, journaliste blogueur spécialisé en sécurité, a publié il y a quelques jours un billet intitulé Internet Explore non sécurisé pendant 284 jours de 2006, chiffres à l'appui. A contrario Firefox ne l'était que pendant 9 jours. Avec un titre pareil, c'est sûr que ça fait son petit effet, et la couverture presse et bloguienne est à la hauteur :

Sur cette affirmation[1] qui ressemble fort à une lapidation, il convient de rappeler plusieurs choses (au risque de me répéter...) :

  • Aucun logiciel complexe n'est fiable à 100%, même si certains le sont plus que d'autres.
  • Les éditeurs se doivent de réagir aussi vite que possible en publiant les correctifs, mais c'est aux utilisateurs de les appliquer ;
  • Le comptage de failles pour comparer deux produits dont l'un est Libre et l'autre propriétaire est illusoire, dans la mesure où dans un cadre propriétaire, il est bien plus facile de dissimuler les failles qui ont été trouvées en interne, ce qui met le logiciel Libre dans une position médiatiquement difficile. La dernière preuve en date est fournie gracieusement par Opera ;
  • Le rapport de Brian Krebs, va certes plus loin que le simple comptage de faille, et c'est bien de prendre en compte les fenêtres de vulnérabilité. Toutefois, il faudrait aussi prendre en compte la gravité (criticality, en anglais) de ces failles.

Notes

[1] Gerv remarque malicieusement qu'IE était non sécurisé 78% du temps, au lieu de 2,5% du temps pour Firefox.