Intrigante, cette étude publiée par Cenzic, qui indique que 44% des 3100 exploits (des vulnérabilités considérées comme très critiques) recensés par la firme sont en mesure de s’attaquer au navigateur de Mozilla, alors que le chiffre baisse à 35% pour Safari, à 15% pour Internet Explorer et enfin à 6% pour Opera.
Parmi les exploits recensés par Cenzic, on notera la présence d’injections SQL (25%), de cross-site scripting (17%), de phishing (14%) et de serveurs web frauduleux (12%)
via electronista
![[VDS] Microsoft Zune HD](http://www.journaldugeek.com/files/2012/02/IMG_0237-39x39.jpg)
![[VDS] Samsung Galaxy Tab 10.1, sous blister](http://www.journaldugeek.com/files/2012/02/galaxytab-39x39.jpg)
![[Vds] Archos 70it 8Go](http://www.journaldugeek.com/files/2012/02/IMG_1217-39x39.jpg)
Le Journal du Geek
mr_polak
12 nov, 2009, 10:50 #1Et pour Chrome?
grogeek
12 nov, 2009, 10:52 #2Vous êtes sur que c’est un Panda Roux (a.k.a FireFox) sur la photo ???
Ce truc ressemble plus à un renard …
http://fr.wikipedia.org/wiki/Panda_roux
grogeek
12 nov, 2009, 10:56 #3Wikipedia le dit bien : « Le petit panda est la mascotte officielle du navigateur web Firefox, dérivé de la suite logicielle libre Mozilla. En effet, le logo représente un panda roux[5] ; la ressemblance du renard roux avec cet animal et la traduction littérale du mot « firefox » font qu’on les confond souvent. »
pour un journal de geek, quand même…
william188
12 nov, 2009, 11:01 #4M’en fou moi, j’utilise Chrome =D
Un petit sondage du JDG serait sympa, combien utilise quel navigateur…
mwahaha
12 nov, 2009, 11:05 #5En attendant sur leur logo, c’est bien un renard :/
Et vive Opéra !
grogeek
12 nov, 2009, 11:10 #6@mwahaha
Ben va changer la page du Wiki alors ….
hyperion246
12 nov, 2009, 11:13 #7Le logo est bel et bien un panda roux, qui est confondu depuis le début de Firefox avce un renard…
mwahaha
12 nov, 2009, 11:18 #8Normale que l’on confonde, il a un museau super long ! ( like a fox )
Bah, on dira qu’ils savent pas dessiner
J.
12 nov, 2009, 11:19 #9Alors je suis pas un grand fan de Firefox, que je trouve pas très bien fichu, mal programmé (aucune isolation des threads comme dans Opera, du coup lorsqu’un onglet plante tout disparaît) et qui essaye de copier tout le monde sans avoir de personnalité. Tout cela mis à part, je trouve cette étude assez étrange étant donné que sur les « menaces » présentées ici ce sont essentiellement des menaces : 1/qui attaquent côté serveur, 2/psychologiques.
Je viens de lire leur « rapport » et même si ce n’est pas vraiment ma spécialité, ça a l’air d’un bon ramassis de conneries selon moi.
Bref, si quelqu’un veut bien confirmer, le pdf est ici http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-2009.pdf
Micht
12 nov, 2009, 11:49 #10Alors entièrement d’accord avec toi J.
Leur rapport parle quasiment entièrement de vulnérabilités applicatives serveur (phpMyAdmin, …) et avec des exploits qui sont liés à ces applicatif (SQL injection, CrossScript).
a part ça, ben y’a un pauvre paragraphe sur les navigateurs avec juste un graphique …
Du coup, tu sais pas s’ils parlent de vulnérabilités des navigateurs, du type de navigateur utilisé pour les attaques ci-dessus, ou bien du navigateur des gars qui ont été victimes des attaques.
Bref, c’est vraiment une page de Troll au milieu d’un article intéressant !!
++
Quelqu'un
12 nov, 2009, 12:23 #11Je le savait que IE était un tres bon navigateur!! :troll inside:
l’avantage d’un produit open source est queles failles sont corrigées beaucoup beaucoup plus rapidement
1107tang
12 nov, 2009, 12:36 #12Firefox c’est nul
Vive Opera
cxhx
12 nov, 2009, 13:04 #13Arretez ie8 chez moi bug moins que FF…Je l’utilise quotidiennement et pas de gros ralentissemnt sur mes tests.
Le nouveau ff 3.5 c’est lourd et buggué et plantage irrécupérable je le garde car je m’en sers pour stocké mes codes et quand ie8 ne fait pas ce que je lui demande!
Quant à chrome c’est un parasite lui même et pas de réelle bénéfice c’est pas parce que l’on a une interface épuré que l’on fait mieux que les autres!
C »est vrai qu’Opéra est bon et beau mais trop complexe à utiliser il faut s’y mettre, quant à Safari c’est un gag sous windows!
En fait Ie8 ff cool, Opéra ca va, Chrome bof, et Safari à désinstaller!
Steve
12 nov, 2009, 13:31 #14Et moi qui pensait que c’était une loutre verte à oreille décollée du Gabon
Moons
12 nov, 2009, 13:49 #15Ben t’es sérieux?
Tu connais quelquechose en informatique? Qu’est ce que tu fais à la rédaction du JDG?
Je cite :
« Parmi les exploits recensés par Cenzic, on notera la présence d’injections SQL (25%) »
Ce genre de faille, c’est coté serveur, et coté serveur, il n’y a pas de « naviguateur ».
Tu peux peut être faire de l’injection sql depuis un naviguateur, mais dans ce cas, c’est l’attaquant qui utilise un naviguateur, et donc je ne vois pas en quoi cela à un rapport avec la vulnérabilité d’un naviguateur.
Et puis je trouve que cette société dis de la merde, parce que juger la robustesse technique d’un naviguateur en prenant par exemple en compte le phishing … C’est débile, complétement débile. Ca n’a rien à voir avec le naviguateur, c’est l’utilisateur qui est escroqué, de plus, FF a une blacklist des sites de phishing (pas tous hélas) et prévient en cas d’arnaque.
Bref, Ben, en plus de te faire remarque pour être un troll pro-Apple, tu prouve que t’y comprends rien à ce que tu écris
Maarx
12 nov, 2009, 13:52 #16Lol faudrai vérifier le contenu d’un article avant de le publier. u_u
D’accord avec J. o_o
bobleponge
12 nov, 2009, 14:07 #17+1 moons
… ou comment perdre toute crédibilité en un post.
Faire beaucoup de billets, c’est bien.
En faire des intéressants et fiable, c’est mieux.
Nero
12 nov, 2009, 14:35 #18En quoi l’injection SQL est si peu plausible ? Je vous rappelle que tout (mots de passe, favoris, formulaires, etc.) est stockée dans des fichiers de base de donnée sqlite depuis FF3 : une injection n’est donc pas si farfelue que ça. Je ne vois pas comment l’exploiter autrement que sur la machine, mais ça peut exister.
Gorn
12 nov, 2009, 14:49 #19Je trouve que cette information est s.
Une étude balance un graphique sans explication du comment (flou) et on relaye bêtement l’information.
– quelles versions de navigateur sont utilisées ?
– ont-il testé les navigateurs avec ou sans extensions ? à jour ?
– quelles bases d’exploits ont ils utilisées ? des connus du public ?
– …
Je trouve que cette étude aurait dû être relayer avec du recul, et que l’auteur du post aurait du mettre en doute l’interprétation de ce graphique … un peu à la manière d’ici : http://www.developpez.net/forums/d834457/club-professionnels-informatique/actualites/firefox-navigateur-plus-vulnerable-etude-jette-doute/
cxhx
12 nov, 2009, 16:59 #20@moons @gorn… Messieurs avant de crier allez lire l’étude en pdf dans le lien cité et vous comprendrez de quoi on parle! Arretez de vous prendre pour des génies cette études rescence toute les vulnérabilités et analyse toutes les failles et pas uniquement les browsers(merd.. il fallait faire 2 clics pour lire toute l’étude en pdf)….
Un peu de reflexion pourrait vous amener à voir que si 44% des attaques atteignent ff il y a 25% qui sont sql et donc si il n’y a pas de chevauchement c’est tout a fait possible car il me semble que 44+25 n’a jamias fait plus de 100%!
Et un peu d’attention dans de lecture de l’article de Ben et bien vous verrez qu’il fait deux sauts de paragraphes ce qui en bon francais signifie qu’il ne parle plus des browsers mais des exploits!!!!
Messieurs les Savants un peu de sérieux dans les comentaires ne nuirait pas….
picool
12 nov, 2009, 19:25 #21Regardez les commentaires dans la source, l’étude vient de Microsoft à la base, et le site a fait juste un copier/coller…Bref pas crédible
cxhx
13 nov, 2009, 00:35 #22@picool j’ai lu les commentaires et c’est navrant ils concluent cette société est agréée par m$ c’est donc m$ qui est derrière…
Ridicule comme argument car dans leur précédent rapport celui de mars 2009 c’était ie qui était bonnet d’ane c’est une société qui vend de la sécurité tu m’étonnes qu’elle ai toutes les certifications possible! Décrite comme cela dans les journaux économique sérieux « Cenzic, the leading provider of Web application vulnerability assessment and risk management solutions ».
Je ne crois pas que ce rapport puisse donner une idée complète de la vulnérabilité mais il appui là ou cela fait mal pour ff et si il y a des failles il vaut mieux en parler pour les colmater que faire semblant qu’elles n’existent pas!!!!
galork
13 nov, 2009, 18:24 #23D’un autre côté si il y avait eu une quelconque influence de microsoft IE serait premier et non Opera.
Argument rejeté!
FrozenVodka
13 nov, 2009, 23:56 #24J’y ai cru jusqu’à voir que IE avait 15%.
Vous êtes Lol JDG!
Moons
14 nov, 2009, 12:57 #25@cxhx le génie
Avant de dire n’importe quoi, tu parle de chevauchement entre le 44% et 25%, ok.
Puis tu additionne les deux parts pour dire que c’est < 100%, ca ne veut rien dire et prouve que tu n'as rien compris, car les deux parts sont calculées dans des espace indépendants.
@Nero, et alors tu fais comment pour avoir accés à la base sqlite de FF? Moi je serai bien curieux de savoir, car la base de données est entiérement transparente (selon moi) par rapport à l'utilisateur, à aucun moment je n'ai vu de formulaire ou assimilé pour y mettre une requête.
Enfin bref, si ca vous fait plaisir, utilisez IE8, vous avez raison…
http://www.developpez.net/forums/d834457/club-professionnels-informatique/actualites/firefox-navigateur-plus-vulnerable-etude-jette-doute/#post4777378
Moons
14 nov, 2009, 12:59 #26Et j’ai même oublié que IE avait un gadget trop surpuissant(lol), et surtout invulnérable (lol) et super sécurisé (lol), j’ai nommé : ActiveX
HappyBlueFrog
14 nov, 2009, 18:05 #27@GrosGeek
lol
Sinon chui assez étonnée :s
cxhx
15 nov, 2009, 01:02 #28@moons tu as dis des sottises j’y peu rien et j’ai écrit « c’est tout à fait possible » c’est francais que je sache, je reconnais que ce que j’ai dit est bien moins stupide que ce que tu as dit. 44% des 8% pour être exact et cela ne se chevauche pas avec les attaques sql comme je l’ai dit….
FF c’est de la merde en terme de sécurité par rapport à IE8 et cela encore j’y peu rien! Là je ne parle pas de fantasme mais de réalité…Rassures toi comme tu peux!
Donc pour être plus clair voilà pour toi je ne voulais pas reciter l’étude mais comme apparement t’a rien compris:
Of the Web vulnerabilities, Web Browser vulnerabilities comprised eight percent of the total vulnerabilities found, and Web servers comprised two percent. Vulnerabilities in the code of commercial Web applications was 90 percent of the total Web related vulnerabilities.
Of the browser vulnerabilities, the big surprise was that Firefox at 44 percent had significantly more vulnerabilities than the other browsers. What was also surprising was that Safari vulnerabilities which are usually very low came in at 35 percent, significantly higher than even Internet Explorer which comprised 15 percent of the browser vulnerabilities and Opera with six percent of total browser vulnerabilities.
cxhx
15 nov, 2009, 01:08 #29J’oubliais Maintenant fait tes plus plates excuses à Ben car tu ne sais pas lire car son article était exact dans sa redaction et dans la fidélité à l’étude précité….
namezero
19 nov, 2009, 16:33 #30Bonjour,
En tant que développeur, je précise que Mozilla firefox respecte les standards, ce qui n’est pas le cas de IE.
J’apprécie aussi certains plugins comme Firebug, une console pour débeuger…, celle de IE n’avance a rien!
En tout cas, j’ai testé IE 8. Pour moi, ce n’est pas un produit fini.
Je crois que chez M$, on a pas encore tout à fait compris ce que devait être un navigateur (espérons que sa sera pas le cas de IE9).
Un newbie devant firefox arrivera à se débrouiller très vite après l’installation, même après la toute dernière version 3.5.5.
Par contre, avec IE8, ce n’est pas le cas.
Personnellement, il m’arrive d’installer de nouvelles machines sous différents OS à des personnes qui n’ont pas forcément les connaissances de base. J’ai fait l’essai et je n’en démordrai pas, la daube, c’est IE, mais certainement pas Firefox.
De plus, l’aspect sécurité est important. Une faille découverte sur firefox est corrigée très vite, dans un délai d’environ 24 heures.
Ce n’est pas du tout le cas de IE qui est largement à la traine dans ce domaine.
a plus
namezero
19 jan, 2010, 13:43 #31bonjour,
voici un article récent sur IE
article 2010/01/17
—–
Deux organismes allemands et français ont émis une mise en garde en fin de semaine contre l’utilisation d’Internet Explorer, demandant à Microsoft de régler les défauts de sécurité de son navigateur. Jeudi 14 janvier, le géant américain du logiciel avait annoncé qu’une faille de sécurité de son navigateur avait été exploitée pour mener les cyber-attaques qui ont poussé Google à menacer de cesser ses activités en Chin
—-
voir ce lien:
http://www.lemonde.fr/technologies/article/2010/01/17/la-france-et-l-allemagne-deconseillent-l-utilisation-d-internet-explorer_1292928_651865.html