Ribonews

Secunia a publié récemment un rapport de sécurité contenant notamment des chiffres sur le nombre de failles dans les principaux navigateurs en 2008. Il apparaissait que Firefox avait été victime en moyenne de quatre fois plus de vulnérabilités que ses plus sérieux concurrents Internet Explorer, Safari et Opera. Lucas Adamski, directeur de la sécurité chez Mozilla, s’est empressé de répondre officiellement à ce rapport.

Ce dernier ne fait malheureusement pas, selon lui, dans la dentelle. Les chiffres donnés sont trop bruts et ne sont pas accompagnés des explications qui auraient permis de comprendre réellement la situation. Il donne ainsi une analogie, comparant les rapports d’accidents de la route dans deux villes de taille identique : l’une ne publierait des informations que sur les accidents qui ont fait la une des journaux, et l’autre publierait un rapport complet de tous les accidents, médiatisés ou non.

Nous parlions hier de politique d’information, et c’est bien de ça dont il s’agit pour Lucas Adamski : « Mozilla dévoile et publie des bulletins pour toutes les vulnérabilités corrigées dans Firefox, sans même regarder comment elles ont été découvertes. À l’inverse, d’autres sociétés ne parlent que des vulnérabilités révélées par des tiers, et pas de celles découvertes en interne, par l’assurance qualité ou les partenaires de sécurité ».

En clair : ce n’est pas parce Microsoft, Apple et Opera n’en parlent pas que ces failles n’existent pas. Lucas Adamski trouve le rapport de Secunia très « décevant », notamment parce que les chercheurs n’ont justement « pas pris leur travail de recherche aussi sérieusement que par le passé ». Le plus problématique pour lui reste que ce rapport va continuer à encourager les autres sociétés à continuer leur politique du secret.

source : www.pcinpact.com