Normalement ça devrait marcher...

Depuis le temps que votre serviteur casse du sucre sur le dos de ce navigateur illustrant les qualités lamentables de développement, de robustesse, de performance et surtout d’ouverture (j’explique plus loin) de Microsoft, il fallait bien qu’un jour où l’autre une bricole arrive. Et la bricole est arrivée : une faille de sécurité importante a permis à « on ne sait qui » en Chine ( »on » soupçonne tout de même le gouvernement Chinois, c’est pratique ça fera plus de bruit que la faille chez Microsoft) d’avoir attaqué Google via Internet Explorer 8.

La nouvelle est tombée, elle est notamment reprise en ligne sur lefigaro.fr : Microsoft reconnait que «Internet Explorer a été l’un des vecteurs utilisés par les attaques sophistiquées et ciblées contre Google et d’autres réseaux d’entreprises». L’article est encore plus précis, tenez vous bien, cette faille serait présente dans toutes les versions du navigateur depuis la version 6… je calcule rapidement… 9 ans ! IE6 est sorti en 2001 nous avons donc une faille de sécurité qui existe depuis 9 ans. Triste record.

Faille de sécurité : késako ?

Une faille de sécurité est quelque chose de pernicieux. Il s’agit d’un procédé que peut utiliser une personne malveillante (un pirate, je rappelle qu’un hacker est tout sauf un pirate/une personne malveillante/un acteur illégal, contrairement à ce qui est parfois sous-entendu dans cette appellation) pour, justement, malveiller : bloquer un système informatique, voler des données, etc. Ce procédé est rendu possible car le logiciel a un défaut.

Prenons un exemple simple. A une époque pas si ancienne, il suffisait de se connecter à un site web construit avec Microsoft Internet Information Server (IIS) en ajoutant dans l’adresse plus de 8000 caractères pour le planter et rendre le site web innacessible (je sais il faut être tordu, mais quand il s’agit de nuire faites confiance aux tordus ils sont présents). A cette époque, la faille a été publiée par des gentils hackers pour que Microsoft la corrige (elle a quand même perduré quelques mois…).

Pourquoi c’est la faute de Microsoft et pas celle des méchants pirates ?

Il est mathématiquement impossible de créer un logiciel ouvert sur Internet exempt de failles (de bugs en général, qu’ils soient de sécurité ou non), je renvoie d’ailleurs vers ce sympathique post de l’époque des machines à voter qui traite de ce sujet. On en revient donc à la façon de procéder à posteriori : que faire quand une faille est découverte ?

La méthode Microsoft est simple, elle suit 3 règles fondamentales

1) Si je trouve une faille je ne publie pas son existence ni aucune mise en garde, je la corrigerais quand j’aurais le temps

2) Si on me communique une faille confidentiellement, je prends l’information, surtout on ne remercie pas, et je menace l’informateur de poursuites si il publie la faille. Comme ça j‘ai tout le temps de corriger, parce que là c’est les vacances.

3) Si un internaute publie une faille sur Internet (à force d’attendre qu’elle soit corrigée et voyant que je ne fais rien), je lui lance mes avocats aux trousses afin de lui faire rendre gorge.

Vous l’aurez compris, derrière la faille de sécurité (aucun logiciel n’est parfait on ne peut pas blamer un concepteur pour une faille), il y a surtout la réactivité et la transparence dans la correction de la faille. Et sur ce point, Microsoft est aussi réactif qu’un panda anesthésié et à peine plus transparent qu’un bloc de granit.

Le résultat est là : les failles des logiciels Microsoft sont exploitées, et très largement. Je vous laisse continuer à payer vos achats en ligne ou à faire vos comptes sur le site de votre banque avec Internet Explorer …

Ouverture ?

Les autres navigateurs sont ils plus sécurisés ? ont-ils moins de failles ? ça se discute. Mais partons du postulat que non, la démonstration est ailleurs. Pour qu’une faille soit vite détectée, vite analysée et vite corrigée, il n’y a qu’une solution : avoir à sa disposition des milliers d’experts pour vous rendre ce service.

C’est notamment en cela qu’un logiciel open-source (dont le code source, la suite d’instructions lisibles qui le compose,est accessible et modifiable par tout utilisateur en ayant les capacités) est le seul garant d’une sécurité maximale.

La méthode open-source est la suivante (exemple donné pour un logiciel édité, comme Mozilla Firefox) :

- Une faille est détectée par un utilisateur avancé, elle est alors publiée (personne ne va attaquer son publicateur en justice)

- La faille est corrigée par un ou plusieurs programmeurs (très vite, souvent le jour même)

- L’éditeur produit alors un patch de sécurité que le navigateur télécharge au prochain lancement (sans avoir besoin de faire un windows update qui dure 3 heures, de s’inscrire au programme « je vous jure que j’ai pas piraté Windows je donne mes enfants en gage de bonne foi », ou de rebooter son PC)

Excellant comme souvent dans le numéro de l’étude bidon teintée de mauvaise foi (il en faut pour commander une étude qui dit que vous êtes le meilleur… et la publier), Microsoft a fait produit une étude indiquant que Mozilla Firefox n’était pas plus sécurisé que Microsoft Internet Explorer, utilisant pour cela un test de navigation internet standard et recueillant les alertes du navigateur sur les sites dangereux.

Ridiculisé depuis des années (des siècles en informatique) sur le terrain de la sécurité, Microsoft omet de porter dans l’étude le plus important, la durée moyenne de correction d’une faille de sécurité. Ce billet de Tristan Nitot explique bien cette importance, il y rapporte notamment que «Sur l’année 2006, Internet Explorer était vulnérable pendant 284 jours sur 365. (…) Firefox aussi a eu des failles en 2006. Mais les utilisateurs n’ont été exposés que 9 jours.»

Que ne faire tonton Triton ?

Suivons vite les conseils des organismes nationaux de sécurité informatique français et allemand : utilisons un navigateur alternatif, et de préférence un navigateur open-source !