La nouvelle est tombée, elle est notamment reprise en ligne sur lefigaro.fr : Microsoft reconnait que «Internet Explorer a été l’un des vecteurs utilisés par les attaques sophistiquées et ciblées contre Google et d’autres réseaux d’entreprises». L’article est encore plus précis, tenez vous bien, cette faille serait présente dans toutes les versions du navigateur depuis la version 6… je calcule rapidement… 9 ans ! IE6 est sorti en 2001 nous avons donc une faille de sécurité qui existe depuis 9 ans. Triste record.

Faille de sécurité : késako ?

Une faille de sécurité est quelque chose de pernicieux. Il s’agit d’un procédé que peut utiliser une personne malveillante (un pirate, je rappelle qu’un hacker est tout sauf un pirate/une personne malveillante/un acteur illégal, contrairement à ce qui est parfois sous-entendu dans cette appellation) pour, justement, malveiller : bloquer un système informatique, voler des données, etc. Ce procédé est rendu possible car le logiciel a un défaut.

Prenons un exemple simple. A une époque pas si ancienne, il suffisait de se connecter à un site web construit avec Microsoft Internet Information Server (IIS) en ajoutant dans l’adresse plus de 8000 caractères pour le planter et rendre le site web innacessible (je sais il faut être tordu, mais quand il s’agit de nuire faites confiance aux tordus ils sont présents). A cette époque, la faille a été publiée par des gentils hackers pour que Microsoft la corrige (elle a quand même perduré quelques mois…).

Pourquoi c’est la faute de Microsoft et pas celle des méchants pirates ?

Il est mathématiquement impossible de créer un logiciel ouvert sur Internet exempt de failles (de bugs en général, qu’ils soient de sécurité ou non), je renvoie d’ailleurs vers ce sympathique post de l’époque des machines à voter qui traite de ce sujet. On en revient donc à la façon de procéder à posteriori : que faire quand une faille est découverte ?

La méthode Microsoft est simple, elle suit 3 règles fondamentales

1) Si je trouve une faille je ne publie pas son existence ni aucune mise en garde, je la corrigerais quand j’aurais le temps

2) Si on me communique une faille confidentiellement, je prends l’information, surtout on ne remercie pas, et je menace l’informateur de poursuites si il publie la faille. Comme ça j‘ai tout le temps de corriger, parce que là c’est les vacances.

3) Si un internaute publie une faille sur Internet (à force d’attendre qu’elle soit corrigée et voyant que je ne fais rien), je lui lance mes avocats aux trousses afin de lui faire rendre gorge.

Vous l’aurez compris, derrière la faille de sécurité (aucun logiciel n’est parfait on ne peut pas blamer un concepteur pour une faille), il y a surtout la réactivité et la transparence dans la correction de la faille. Et sur ce point, Microsoft est aussi réactif qu’un panda anesthésié et à peine plus transparent qu’un bloc de granit.

Le résultat est là : les failles des logiciels Microsoft sont exploitées, et très largement. Je vous laisse continuer à payer vos achats en ligne ou à faire vos comptes sur le site de votre banque avec Internet Explorer …

Ouverture ?

Les autres navigateurs sont ils plus sécurisés ? ont-ils moins de failles ? ça se discute. Mais partons du postulat que non, la démonstration est ailleurs. Pour qu’une faille soit vite détectée, vite analysée et vite corrigée, il n’y a qu’une solution : avoir à sa disposition des milliers d’experts pour vous rendre ce service.

C’est notamment en cela qu’un logiciel open-source (dont le code source, la suite d’instructions lisibles qui le compose,est accessible et modifiable par tout utilisateur en ayant les capacités) est le seul garant d’une sécurité maximale.

La méthode open-source est la suivante (exemple donné pour un logiciel édité, comme Mozilla Firefox) :

- Une faille est détectée par un utilisateur avancé, elle est alors publiée (personne ne va attaquer son publicateur en justice)

- La faille est corrigée par un ou plusieurs programmeurs (très vite, souvent le jour même)

- L’éditeur produit alors un patch de sécurité que le navigateur télécharge au prochain lancement (sans avoir besoin de faire un windows update qui dure 3 heures, de s’inscrire au programme « je vous jure que j’ai pas piraté Windows je donne mes enfants en gage de bonne foi », ou de rebooter son PC)

Excellant comme souvent dans le numéro de l’étude bidon teintée de mauvaise foi (il en faut pour commander une étude qui dit que vous êtes le meilleur… et la publier), Microsoft a fait produit une étude indiquant que Mozilla Firefox n’était pas plus sécurisé que Microsoft Internet Explorer, utilisant pour cela un test de navigation internet standard et recueillant les alertes du navigateur sur les sites dangereux.

Ridiculisé depuis des années (des siècles en informatique) sur le terrain de la sécurité, Microsoft omet de porter dans l’étude le plus important, la durée moyenne de correction d’une faille de sécurité. Ce billet de Tristan Nitot explique bien cette importance, il y rapporte notamment que «Sur l’année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. (…) Firefox aussi a eu des failles en 2006. Mais les utilisateurs n’ont été exposés que 9 jours.»

Que ne faire tonton Triton ?

Suivons vite les conseils des organismes nationaux de sécurité informatique français et allemand : utilisons un navigateur alternatif, et de préférence un navigateur open-source !

Evidemment vous vous dites : « Et voilà ! une nouvelle technologie sort et Môssieu Will ne peut pas s’empêcher de lui casser du sucre sur le dos, surtout si c’est chez Microsoft ! ». C’est pas faux. Mais vous allez avoir du mal à trouver de la mauvaise foi dans ce billet.

A dire vrai, j’ai téléchargé IE8 sous mon Windows 2008 64bits le jour de sa sortie. J’ai tout essayé, j’ai même commencé à écrire un banc d’essai, et puis plus j’avançais plus la terrible réalité s’imposait à moi : non seulement il n’apporte quasiment rien de nouveau par rapport à la version 7, non seulement il est extrêmement en retard par rapport aux autres navigateurs, mais en plus c’est une escroquerie sans nom : aucun  des arguments avancés par Microsoft lors du lancement de IE8 ne sont vrais ! suivez le guide…

La nouveauté technologique

où ça ? j’ai téléchargé hier la dernière version pour être sur chez Microsoft, IE8 64Bits pour Windows 2008 : je le lance, je regarde le gestionnaire de tâche et je lis « iexplore*32″. Oui oui, vous avez bien lu : IE8 n’est même pas compilé en 64Bits… du reste j’aurais du m’en douter il est allé s’installer dans « c:\program files (x86)\ », l’endroit ou sont installés les vieux logiciels non compatibles avec les systèmes Windows 64 bits.

[EDIT du 23/04/2009 : Merci à Lepiou - En fait les deux versions sont installées, mais seule la version 32 bits est sur le bureau et associée au lancement d'une page web, il faut aller chercher la version 64bits dans le menu démarrer.  Le reste du billet ne change pas sur la version x64.]

Ensuite, IE8 pourtant tout neuf n’est même pas compatible HTML 5 ! Par exemple la démo ci-dessous d’une animation 3D javascript plante lamentablement alors que Firefox 3 sorti il y a un an la fait tourner sans difficulté.

[View with PicLens]

Le respect des standards

Aie, standards et Microsoft dans la même phrase, forcément ça jure autant que Staline et Démocratie. Je ne m’étends pas, une copie d’écran du test ACID3, auquel les 3 concurrents de Microsoft (Mozilla Firefox, Google Chrome et Apple Safari) décrochent un 100/100 voit notre IE8 tout neuf obtenir… 20/100 !

La sécurité

Re-aie, sécurité et Microsoft dans la même phrase, pourquoi pas Cancer et Avenir tant qu’on y est ? n’empêche, Microsoft essaie de redorer son blason (à ce sujet jetez un oeil au billet dévastateur de Tristan Nitot sur la réactivité de Microsoft face aux failles de sécurité de IE).

Premier lancement de IE8 et là surprise : c’est SUPER sécurisé ! en effet je ne peux même pas accéder à la page d’accueil de IE8, il s’autobloque… du grand art (ça rappelle l’époque ou une mise à jour d’Outlook Express avait interdit l’affichage des pièces jointes pour être sur de ne pas afficher de virus dans les mails).

On fait ce qu’il faut on va sur MS Live, on clique sur le premier site qu’on trouve, et vlan ! encore une alerte, et comme ça sur tous les sites… Bref, on fait comme d’habitude avec la sécurité de Microsoft qui a une tendance à ressembler furieusement à une camisole de force : on la désactive (ceux qui utilisent Windows Vista savent de quoi je parle, lorsque chaque clic sur un icône ouvre une fenêtre qui vous demande « vous êtes sur ? pasque faudra pas vous plaindre si votre maison s’écroule hein ! sur de sur ? ok vous l’aurez voulu ».).

L’expérience de navigation

Mon dieu… ces termes techno-marketo-futuristes pour vendre de la viande à des végétariens . Bref, quid de l’ergonomie ? J’ai un mot qui me vient : c’est tout simplement moche.

Un exemple ? voici les fênetres qui vous sont proposées pour personnaliser votre navigateur. A l’heure du Web 2.0, des widget, du glisser/déplacer, etc. on vous ressort des vieilles listes déroulantes façon Windows 3.1 avec des termes incompréhensibles. Au moins, on ne pourra pas dire qu’ils ont copié Apple cette fois…

Et tout est à l’avenant : impossible de glisser un site sur un nouvel onglet, ouvrez une page avec une animation Flash le navigateur ne vous propose pas de charger le plugin nécessaire, fermez IE8 vous perdez tous vos onglets de toutes façons tout le monde s’en fout de vos onglets, cliquez sur « plus de compléments » en rêvant d’une pluginothèque délirante et hop on vous propose la boutique FNAC, bref, si vous aimez la déception vous ne serez pas déçus…

Alors finalement ?

Pour finir : au placard le banc d’essai y a rien à voir.

Au Salon Mix’09 de Las Vegas, le chef de l’équipe de développement d’Internet Explorer 8, Dean Hachamovitch a dit, je cite :

Le lancement d’Internet Explorer 8 marque un jour très important pour Microsoft.

Voilà ! en fait c’est pour Microsoft qu’ils ont développé IE8, et nous qui pensions bêtement que c’était pour nous…

Retournez vite à Firefox ou à Safari si vous avez acheté un iPhone malgré tout, oubliez Chrome (je vous dirais pourquoi une autre fois j’ai un concours de Yeti Pentathlon qui m’attend) et bénissez le ciel que Microsoft n’ai pas réussi à étouffer tous les navigateurs Internet comme il l’a fait des systèmes pour PC !

Les plus technophiles d’entre vous auront reconnu le classique « hello world » que tout programmeur écrit pour la première fois quand il apprend un nouveau langage… pour les profanes ce sera un bonjour comme les autres, ce qui n’est pas si mal au regard des jours difficiles qui se profilent à l’horizon de cette année.

Ce billet ayant pour unique vocation de présenter ce blog, ne tergiversons pas. Vous trouverez ici des articles sur tout ce qui touche de près ou de loin à la technologie, surtout quand « ça marche pas » où quand ça vous fait regretter de l’utiliser… donc pas souvent (on y croit), mais bien assez pour qu’on en parle.

Tous les thèmes seront abordés, sans à priori : le web, les éditeurs, la loi, le marché, l’économie, la technique, les langages, les brevets, la sécurité, les bidouilles, les consoles de jeu, et j’en passe tellement que j’ai le vertige.