Il y a quelques jours (jeudi dernier) se tenait une conférence sur la sécurité informatique, CanSecWest. Dans une des sessions appelée Pwn2own[1], des chercheurs en sécurité sont mis au défi de pénétrer dans une batterie d'ordinateurs. S'ils réussissent, il gagnent l'ordinateur. A ce jeu là, les chercheurs en question recherchent en amont des failles de sécurité, les gardent secrètes jusqu'à cette session, où ils les dévoilent pour remporter le prix.

A cette occasion, des failles de sécurité ont été révélées dans Internet Explorer 8, Firefox 3 et Safari.

Parallèlement, un autre trou de sécurité a été trouvé et publié suivant la méthode de full disclosure, mettant les utilisateurs de Firefox dans une position très désagréable : celle où une faille est publique.

A l'heure qu'il est, les rustines pour les deux failles ont été écrites, intégrées et testées dans Firefox. Une prochaine version, nommée 3.0.8 est sur le point de sortir, peut-être ce week-end.

Voilà pour les faits. Prenons un peu de recul par rapport aux événements :

Comme tous les navigateurs sont des logiciels très complexes et qu'ils sont écrits par des humains, ils contiennent des erreurs, des bogues, dont certains sont des failles de sécurité. C'est inévitable. Par contre, ce qu'on peut faire quand on découvre une faille, c'est deux choses :

  1. la corriger le plus rapidement possible
  2. déployer le correctif le plus rapidement possible.

Autrement dit, c'est une course contre la montre pour mettre les utilisateurs en sécurité.

Puisque tous les navigateurs finissent par avoir des failles de sécurité, comment savoir celui qui est le plus sécurisé (ou le moins dangereux) ? Plutôt que de mesurer le nombre de failles (qui n'est pas significatif, comme je l'ai démontré), il y a de biens meilleures méthodes. Par exemple mesurer le temps qui s'écoule entre le moment où la faille est publiée et celui où l'utilisateur a une nouvelle version du logiciel qui bouche le trou.

C'est même infiniment plus significatif – et instructif – que le comptage de failles. D'ailleurs, si un journaliste en sécurité informatique voulait se pencher sur le problème et compter la durée des "fenêtres de temps de vulnérabilité" de Firefox et Internet Explorer, je suis sûr que ça ferait un très bon papier...

Pourquoi je vous parle de ça ? Parce que je viens de lire une interview sur France24 du patron de Microsoft Europe, Jean-Philippe Courtois, qui déclare à propos d'IE 8, cracké lors de CanSecWest/Pwn2own :

On a des réactions extrêmement rapides en termes de corrections de vulnérabilité.

Soit. Je vous propose donc une petite expérience... Dès que Firefox 3.0.8 est sorti, je déclenche le chrono pour voir combien de temps il faut à Microsoft pour corriger leur problème, qui a été trouvé en même temps que celui de Firefox. On va bien voir ce qu'ils entendent par "extrêmement rapide", chez Microsoft. Je me demande si ça sera corrigé lundi ou mardi. Ou le mois prochain. Ou l'année prochaine... Et puis on va voir combien de temps les gens prennent pour le mettre à jour.

J'espère qu'ils ont changé fait des progrès chez Microsoft. Sur l'année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. Que les choses soient claires : Firefox aussi a eu des failles en 2006. Mais les utilisateurs n'ont été exposés que 9 jours.

Mise à jour : Firefox 3.0.8 est officiellement sorti à 15h45 heure de Californie, le 27/03/2009. Tic. Tac. Tic. Tac.

Nouvelle mise à jour le 8 avril 2009 : Internet Explorer 8 vient d'être mis à jour, 12 jours après Fireox, indique un lecteur du Standblog. Il ajoute qu'il "faudrait vérifier si elle comble bien la faille de sécurité, mais c'est impossible à confirmer, je ne trouve aucune release note". La faille n'est pas décrite, la solution non plus, l'utilisateur ne sait pas, il est laissé dans le noir et l'incertitude, dans l'obligation de croire Microsoft sur parole.

Notes

[1] Qu'on pourrait traduire par "piraté, c'est gagné !"