[Note préalable : ceci est une mise à jour d’un article précédent. Pour ceux qui l’ont déjà lu, la mise à jour concerne le recensement des bulletins de sécurité et des vulnérabilités avec l’ajout de nouvelles versions des navigateurs, l’ajout d’un graphique sur les vulnérabilités des plug-ins les plus courants plus quelques ressources complémentaires]
Sur la sécurité du navigateur, il est commun d'entendre tout et son contraire. Les afficionados du navigateur X ne seront jamais à cours d'arguments pour critiquer les navigateurs Y ou Z.
La seule chose sur laquelle tout le monde devrait être d'accord, c'est qu'il faut absolument utiliser un navigateur récent car ce sont les dernières générations qui disposent des mécanismes de sécurité les plus efficaces pour contrer les (trop nombreuses) menaces venant du Web.
Donc laissez Internet Explorer 6.0 aux collectionneurs (ne suivez pas l’exemple du gouvernement britannique cf. http://tinyurl.com/3axd3tw) et migrez vers une version plus récente (ou un navigateur alternatif récent). Ne vous obstinez pas à rester sur une version qui finira par ne plus être supportée (fin du support d’Internet Explorer 6 en 2014). Il faut cesser la politique de l’autruche et réfléchir dès aujourd’hui à la migration du navigateur (plus d’informations sur ce sujet : http://blogs.msdn.com/b/iefrance/archive/2010/07/28/ressources-du-livemeeting-ie8-pour-l-entreprise.aspx). En plus, ce sera toujours une partie de votre projet de migration du système d’exploitation du poste client qui sera faite (IE 8 étant le navigateur par défaut sur Windows 7 et IE 9 étant une vraie belle amélioration).
Il est toujours possible de faire une liste exhaustive des différents mécanismes de sécurité de tel ou tel navigateur sachant qu'au final, quand on compare ce qui est comparable (des navigateurs sortis dans une même période), les différences sont assez minimes.
Voici donc une liste (non exhaustive) de documents ou articles : -> Mécanismes de sécurité d'Internet Explorer 8.0 / 9.0
Présentation de la sécurité Internet Explorer 8.0 http://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspx Internet Explorer 8 sous Windows Vista & Windows 7 à dispose d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>\Windows\Temp\Temporary Internet Files. Ce mécanisme IEPM (Internet Explorer Protected Mode) constitue la base du sandboxing (plus d’informations sur les mécanismes de sandboxing IE vs Chrome plus bas) A Safer Online Experience http://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDF Le Filtre SmartScreen dans Internet Explorer 8 / 9 : http://blogs.technet.com/b/stanislas/archive/2009/11/13/filtre-smartscreen-dans-internet-explorer-8-0-partie-2-parametrage-via-gpo.aspx Le SmartScreen Application Reputation dans Internet Explorer 9.0 : http://blogs.technet.com/b/stanislas/archive/2010/10/18/ie-9-plus-de-securite-lors-des-telechargements-avec-smartscreen-application-reputation.aspx ActiveX Filtering dans Internet Explorer 9 : http://blogs.technet.com/b/stanislas/archive/2011/03/09/internet-explorer-9-activex-filtering.aspx
Présentation de la sécurité Internet Explorer 8.0 http://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspx
Internet Explorer 8 sous Windows Vista & Windows 7 à dispose d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>\Windows\Temp\Temporary Internet Files. Ce mécanisme IEPM (Internet Explorer Protected Mode) constitue la base du sandboxing (plus d’informations sur les mécanismes de sandboxing IE vs Chrome plus bas)
A Safer Online Experience http://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDF
Le Filtre SmartScreen dans Internet Explorer 8 / 9 : http://blogs.technet.com/b/stanislas/archive/2009/11/13/filtre-smartscreen-dans-internet-explorer-8-0-partie-2-parametrage-via-gpo.aspx
Le SmartScreen Application Reputation dans Internet Explorer 9.0 : http://blogs.technet.com/b/stanislas/archive/2010/10/18/ie-9-plus-de-securite-lors-des-telechargements-avec-smartscreen-application-reputation.aspx
ActiveX Filtering dans Internet Explorer 9 : http://blogs.technet.com/b/stanislas/archive/2011/03/09/internet-explorer-9-activex-filtering.aspx
-> Mécanismes de sécurité de Firefox
http://www.mozilla.com/en-US/firefox/features/#advancedsecurity http://www.mozilla.org/security/ http://blog.mozilla.com/security/
-> Mécanismes de sécurité de Google Chrome
http://sites.google.com/a/chromium.org/dev/Home/chromium-security http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95572 http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html http://www.google.com/support/chrome/bin/topic.py?hl=en&topic=14666 Google Chrome dispose de mécanismes de sandboxing plutôt intéressants. Pour plus d’informations sur ces mécanismes mais aussi sur les mécanismes de sandboxing d’IE, je vous encourage la lecture de la présentation Escaping from Microsoft Windows Sandboxes jouée par Tom Keetch lors du BlackHat Europe 2011
http://sites.google.com/a/chromium.org/dev/Home/chromium-security
http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95572 http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html http://www.google.com/support/chrome/bin/topic.py?hl=en&topic=14666
Google Chrome dispose de mécanismes de sandboxing plutôt intéressants. Pour plus d’informations sur ces mécanismes mais aussi sur les mécanismes de sandboxing d’IE, je vous encourage la lecture de la présentation Escaping from Microsoft Windows Sandboxes jouée par Tom Keetch lors du BlackHat Europe 2011
Concernant les mécanismes de protection anti-phishing voire antimalware, j’ai écrit un article résumant les mécanismes disponibles dans Internet Explorer 8, Mozilla Firefox et Google Chrome : http://blogs.technet.com/b/stanislas/archive/2010/03/23/navigateurs-web-tour-d-horizon-des-m-canismes-de-protection-anti-phishing-et-anti-malware.aspx
Note complémentaire à mon article précédent : Internet Explorer (depuis sa version 8) intègre au sain du filtre Smartscreen un système de réputation permettant de bloquer le téléchargement de fichiers réputés dangereux ou provenant de sources réputées pour véhiculer des codes malveillants. Firefox en standard (= hors plug-ins tiers) n’intègre pas ce type de mécanisme. Google a annoncé la disponibilité d’un mécanisme similaire dans la version 12 de Chrome
Beaucoup de personnes argumentent (ou ont argumentées) que la sécurité d'un navigateur se mesure au nombre de vulnérabilités découvertes ou au nombre de bulletins de sécurité ou encore au nombre de failles découvertes...
Même si c'est un indicateur, cela ne peut pas refléter de manière sûre la qualité de tel ou tel produit. En effet, la popularité d'un navigateur implique forcément un intérêt accru des chercheurs en sécurité (mais aussi de certains cybercriminels) qui vont investir plus de moyens pour essayer de découvrir la présence de vulnérabilités. Un navigateur utilisé par 1000 personnes peut donc apparaitre comme sans vulnérabilités connues si personne (à l'exception de ses développeurs) n'a passé du temps à l'étudier.
Tout logiciel peut avoir des vulnérabilités ou des erreurs dans son code car à l'origine de celui-ci, il y a un développeur qui reste avant tout un humain pouvant faire des erreurs.
Pour déterminer et comparer le nombre de vulnérabilités ou de bulletins de sécurité d'un navigateur, il est possible de se baser sur les informations présentées sur le site de l'éditeur. Dans le cas des trois navigateurs les plus utilisés (Microsoft Internet Explorer, Mozilla Firefox & Google Chrome), les informations sont aux adresses suivantes :
Internet Explorer : http://www.microsoft.com/technet/security/current.aspx (dans le menu déroulant, choisir la version d'IE concernée)
Mozilla Firefox : http://www.mozilla.org/security/known-vulnerabilities/
Google Chrome / Chromium : http://code.google.com/p/chromium/issues/list?can=1&q=status:fixed%20label:security&sort=-id&colspec=ID%20Stars%20Pri%20Area%20Feature%20Type%20Status%20Summary%20Modified%20Owner%20Mstone%20OS
Le Blog de Google Chrome est également une bonne source d’information : http://googlechromereleases.blogspot.com
Reste que là encore, la méfiance vis à vis des éditeurs poussent de nombreuses personnes à argumenter que toutes les vulnérabilités ne sont pas déclarées officiellement par l'éditeur ou pas comptabilisées correctement. On entre ici dans un second débat qui est l'utilisation du nombre de vulnérabilités versus le nombre de bulletins de sécurité (un bulletin pouvant couvrir plusieurs vulnérabilités).
Pour être indépendant des données officielles de chaque éditeur, il est également possible d'utiliser les données fournies par des sociétés ou sites web indépendants qui gèrent eux-mêmes les vulnérabilités ou avis de sécurité. Parmi ces sites, un des plus complets est Secunia à partir duquel je vais extraire les données concernant nos trois navigateurs.
Note : certaines informations de Secunia peuvent et sont parfois contestées (par les éditeurs et/ou les experts en sécurité).
Télécharger cette image en qualité originale : http://farm7.static.flickr.com/6102/6258047214_f494cb2f11_o_d.png
Le graphique précédent (mise à jour à la date du 18 octobre 2011) dans lequel les navigateurs sont classés par ordre chronologique (du plus ancien IE6 au plus récent Google Chrome 14) permet très bien de voir qu’il ne faut vraiment pas comparer des navigateurs de générations différentes :-)
Dans le détail nous avons donc les informations suivantes:
Internet Explorer 6.0 (supporté par son éditeur) : http://secunia.com/advisories/product/11/?task=statistics Sortie avec XP en octobre 2001 (XPSP2 = aout 2004) 155 Avis de sécurité de Secunia 260 Vulnérabilités Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=11
Firefox 1.x (n’est plus supporté par la Fondation Mozilla): http://secunia.com/advisories/product/4227/?task=statistics Firefox 1.0.x sorti le 9 novembre 2004 45 Avis de sécurité de Secunia 209 Vulnérabilités
Internet Explorer 7.0 (supporté par son éditeur) : http://secunia.com/advisories/product/12366/?task=statistics Sortie avec Vista le 19 octobre 2006 (même période que Firefox 2.0) 58 Avis de sécurité de Secunia 186 Vulnérabilités Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12366
Firefox 2.x (n’est plus supporté par la Fondation Mozilla): http://secunia.com/advisories/product/12434/?task=statistics Firefox 2.0.0.x sorti le 24 octobre 2006 29 Avis de sécurité de Secunia 154 Vulnérabilités graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12434
Firefox 3.0.x (n’est plus supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/19089/?task=statistics Firefox 3.0.0.x sorti le 17 juin 2008 24 Avis de sécurité de Secunia 161 Vulnérabilités graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=19089
Internet Explorer 8.0 (supporté par son éditeur) : http://secunia.com/advisories/product/21625/?task=statistics Sortie le 19 mars 2009 Sortie avec Windows 7 en aout 2009 26 Avis de sécurité de Secunia 112 Vulnérabilités Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=21625
Google Chrome 2.X (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/25469/ Sortie : 21 mai 2009 5 Avis de sécurité de Secunia 10 Vulnérabilités Non patché (pour Secunia) : 20% (1 sur 5)
Firefox 3.5.x (n’est plus supporté par la Fondation Mozilla): http://secunia.com/advisories/product/25800/?task=statistics Sortie Firefox 3.5.0.x le 30 juin 2009 19 Avis de sécurité de Secunia 161 Vulnérabilités Non patché (pour Secunia) : 0% Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=25800
Google Chrome 3.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/25720/ Sortie : 15 septembre 2009 5 Avis de sécurité de Secunia 16 Vulnérabilités
Firefox 3.6.x (supporté par la Fondation Mozilla): http://secunia.com/advisories/product/28698/ Sortie Firefox 3.6.x le 21 janvier 2010 16 Avis de sécurité de Secunia 135 Vulnérabilités
Google Chrome 4.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/28713/ Sortie : 25 janvier 2010 6 Avis de sécurité de Secunia 35 Vulnérabilités
Google Chrome 5.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/30134/ Sortie : 25 mai 2010 7 Avis de sécurité de Secunia 56 Vulnérabilités
Google Chrome 6.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/31928/ Sortie : 2 septembre 2010 3 Avis de sécurité de Secunia 20 Vulnérabilités
Google Chrome 7.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/32718/ Sortie : 20 octobre 2010 3 Avis de sécurité de Secunia 23 Vulnérabilités
Google Chrome 8.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/33215/ Sortie : 3 décembre 2010 1 Avis de sécurité de Secunia 3 Vulnérabilités
Google Chrome 9.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/34150/ Sortie : 3 février 2011 3 Avis de sécurité de Secunia 58 Vulnérabilités
Google Chrome 10.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/34532/ Sortie : 9 mars 2011 5 Avis de sécurité de Secunia 33 Vulnérabilités
Internet Explorer 9.0 (supporté par son éditeur) : http://secunia.com/advisories/product/34591/ Sortie le 19 mars 2011 4 Avis de sécurité de Secunia 26 Vulnérabilités
Firefox 4.x (n’est plus supporté par la Fondation Mozilla): http://secunia.com/advisories/product/34777/ Sortie Firefox 4.0 le 22 mars 2011 2 Avis de sécurité de Secunia 14 Vulnérabilités
Google Chrome 11.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/35311/ Sortie : 13 mai 2011 4 Avis de sécurité de Secunia 30 Vulnérabilités
Google Chrome 12.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/36023/ Sortie : 8 juin 2011 3 Avis de sécurité de Secunia 38 Vulnérabilités
Firefox 5.x (n’est plus supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/36309/ Sortie : le 21 juin 2011 1 Avis de sécurité de Secunia 10 Vulnérabilités
Google Chrome 13.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/37386/ Sortie : 9 août 2011 3 Avis de sécurité de Secunia 136 Vulnérabilités
Firefox 6.0 (n’est plus supporté par la Fondation Mozilla): http://secunia.com/advisories/product/37619/ Sortie : le 16 août 2011 1 Avis de sécurité de Secunia 12 Vulnérabilités
Google Chrome 14.x (supporté par son éditeur) : http://secunia.com/advisories/product/38063/ Sortie : 4 octobre 2011 2 Avis de sécurité de Secunia 13 Vulnérabilités
Note : Dans Secunia.com, les vulnérabilités de Google Chrome sont comptabilisées version par version et ne sont pas rétroactives (= comptées) pour les versions antérieures (ni corrigées d’ailleurs par Google car seule compte la version en cours). De même certaines personnes argumentent que le numéro de version de Chrome n’a pas d’importance (même si du point de vue marketing c’est l’inverse tant cela génère des articles dans la presse en ligne) car il est en perpétuelle évolution (rappel : L’équipe de développement de Chromium a annoncé la sortie d’une nouvelle version stable du navigateur toutes les 6 semaines afin d’être “plus agile” cf. http://blog.chromium.org/2010/07/release-early-release-often.html. Les administrateurs système en entreprise qui ont encore de l’Internet Explorer 6 ou 7 dans leur parc apprécieront certainement, même si je pense qu’il serait quand même temps de faire une mise à jour vers une version plus récente (pour des raisons de sécurité, performances, support des standards…)
La Fondation Mozilla vient d’opter pour un système de “versioning” similaire à celui Google Chrome/Chromium et prévoit désormais de sortir 4 versions “majeures” par an du navigateur Firefox. Au delà de cette approche “plus agile”, la notion de support des anciennes versions a été également revue radicalement :
Cette nouvelle stratégie de la Fondation Mozilla ne plait pas vraiment aux entreprises qui n’ont pas la souplesse d’un particulier concernant les changements rapides de versions. Quelques réactions à lire sur ce sujet :
Depuis, la fondation Mozilla a créé (ou plutôt fait renaitre de ses cendres) un groupe de travail dédié au navigateur dans l’entreprise. Ce groupe vient de faire une proposition d’approche où une version donnée de Firefox serait spécialement maintenue pour l’entreprise sur une durée de 42 semaines.
Informations sur le possible support de Firefox dans le monde de l’entreprise: https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport:Proposal
Informations complémentaires sur les navigateurs dans le monde de l’entreprise :
Du coup si on cumule les chiffres de Secunia pour les versions de Chrome à partir de Chrome 2 (qui est sorti peu après Internet Explorer 8 et Firefox 3.5), on obtient des chiffres “plus effrayants”. N’hésitez pas à me donner votre avis sur ce mode de calcul (via les commentaires ou via le formulaire de contact ici en évitant les commentaires relevant du trollesque :-)) si besoin.
Et si on cumule les chiffres de Secunia pour les versions de Chrome à partir de Chrome 10 (qui est sorti peu avant Internet Explorer 9 et Firefox 4.0), on obtient ceci :
Point complémentaire important à souligner en terme de sécurité, c’est la gestion des composants additionnels au navigateur tels que Acrobat Flash, Acrobat Reader, Apple Quicktime, Java…. Ces composants sont devenus depuis quelques années une cible intéressante et un vecteur de menaces non négligeable pour les Systèmes d’Information.
Quelques chiffres extraits du Microsoft Security Intelligence Report v11 (Analyse de janvier à juin 2011. rapport disponible sur http://www.microsoft.com/security/sir/default.aspx)
Dans le détail, cela donne les chiffres suivants :
Apple QuickTime 6.x http://secunia.com/advisories/product/810/ 7 avis de sécurité de Secunia 21 vulnérabilités
Apple QuickTime 7.x : http://secunia.com/advisories/product/5090/ 29 avis de sécurité de Secunia 170 vulnérabilités
Microsoft Silverlight 1.x : http://secunia.com/advisories/product/16105/ 0 avis de sécurité de Secunia 0 vulnérabilité
Microsoft Silverlight 2.x : http://secunia.com/advisories/product/20227/ 2 avis de sécurité de Secunia 3 vulnérabilités
Microsoft Silverlight 3.x : http://secunia.com/advisories/product/25996/ 1 avis de sécurité de Secunia 2 vulnérabilités
Microsoft Silverlight 4.x : http://secunia.com/advisories/product/28947/ 1 avis de sécurité de Secunia 1 vulnérabilité
Adobe Acrobat 8.x : http://secunia.com/advisories/product/12256/ 18 avis de sécurité de Secunia 339 vulnérabilités
Adobe Acrobat 9.x : http://secunia.com/advisories/product/20492/ 18 avis de sécurité de Secunia 342 vulnérabilités
Acrobat Flash Player 9.x : http://secunia.com/advisories/product/11901/ 13 avis de sécurité de Secunia 82 vulnérabilités
Acrobat Flash Player 10.x : http://secunia.com/advisories/product/20166/ 17 avis de sécurité de Secunia 192 vulnérabilités
Acrobat Flash Player 11.x : http://secunia.com/advisories/product/38260/ 0 avis de sécurité de Secunia 0 vulnérabilités
Sun Java JRE 1.4.x http://secunia.com/advisories/product/784/ 46 avis de sécurité de Secunia 230 vulnérabilités
Sun Java JRE 1.5.x / 5.x http://secunia.com/advisories/product/4228/ 33 avis de sécurité de Secunia 232 vulnérabilités
Sun Java JRE 1.6.x / 6.x http://secunia.com/advisories/product/12878/ 22 avis de sécurité de Secunia 240 vulnérabilités
Oracle Java JRE SE 1.7.x / 7. http://secunia.com/advisories/product/37734/ 1 avis de sécurité de Secunia 20 vulnérabilités
Il convient donc de traiter ces composants avec la même rigueur (voire plus encore) que le navigateur en terme de gestion des mises à jour.
Informations complémentaires :
A noter : concernant Adobe, la signature d'un accord avec Microsoft afin de mettre en oeuvre une collaboration plus efficace destinée à mieux protéger les utilisateurs contre les menaces en ligne
Microsoft, Adobe Collaborate to Protect Against Online Threats http://www.microsoft.com/presspass/press/2010/jul10/07-28MSBlackhatPR.mspx
Et pour ceux qui n’ont pas (encore) lancé un chantier pour la gestion des mises à jours dans leur entreprise, je vous encourage quelques lectures sur le sujet :-)
- Stanislas Quastana -