Passer au contenu

Firefox, un navigateur vulnérable ?

Intrigante, cette étude publiée par Cenzic, qui indique que 44% des 3100 exploits (des vulnérabilités considérées comme très critiques) recensés par la firme sont en mesure…

Intrigante, cette étude publiée par Cenzic, qui indique que 44% des 3100 exploits (des vulnérabilités considérées comme très critiques) recensés par la firme sont en mesure de s’attaquer au navigateur de Mozilla, alors que le chiffre baisse à 35% pour Safari, à 15% pour Internet Explorer et enfin à 6% pour Opera.

Parmi les exploits recensés par Cenzic, on notera la présence d’injections SQL (25%), de cross-site scripting (17%), de phishing (14%) et de serveurs web frauduleux (12%)

funny-pictures-firefox-tries-to-retrieve-your-file

via electronista

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

32 commentaires
  1. Wikipedia le dit bien : “Le petit panda est la mascotte officielle du navigateur web Firefox, dérivé de la suite logicielle libre Mozilla. En effet, le logo représente un panda roux[5] ; la ressemblance du renard roux avec cet animal et la traduction littérale du mot « firefox » font qu’on les confond souvent.”

    pour un journal de geek, quand même…
    😀 😀 😀

  2. Normale que l’on confonde, il a un museau super long ! ( like a fox ) 😕
    Bah, on dira qu’ils savent pas dessiner 😛

  3. Alors je suis pas un grand fan de Firefox, que je trouve pas très bien fichu, mal programmé (aucune isolation des threads comme dans Opera, du coup lorsqu’un onglet plante tout disparaît) et qui essaye de copier tout le monde sans avoir de personnalité. Tout cela mis à part, je trouve cette étude assez étrange étant donné que sur les “menaces” présentées ici ce sont essentiellement des menaces : 1/qui attaquent côté serveur, 2/psychologiques.
    Je viens de lire leur “rapport” et même si ce n’est pas vraiment ma spécialité, ça a l’air d’un bon ramassis de conneries selon moi.
    Bref, si quelqu’un veut bien confirmer, le pdf est ici http://www.cenzic.com/downloads/Cenzic_AppSecTrends_Q1-Q2-2009.pdf

  4. Alors entièrement d’accord avec toi J.

    Leur rapport parle quasiment entièrement de vulnérabilités applicatives serveur (phpMyAdmin, …) et avec des exploits qui sont liés à ces applicatif (SQL injection, CrossScript).
    a part ça, ben y’a un pauvre paragraphe sur les navigateurs avec juste un graphique …

    Du coup, tu sais pas s’ils parlent de vulnérabilités des navigateurs, du type de navigateur utilisé pour les attaques ci-dessus, ou bien du navigateur des gars qui ont été victimes des attaques.

    Bref, c’est vraiment une page de Troll au milieu d’un article intéressant !!

    ++

  5. Je le savait que IE était un tres bon navigateur!! :troll inside:
    l’avantage d’un produit open source est queles failles sont corrigées beaucoup beaucoup plus rapidement

  6. Arretez ie8 chez moi bug moins que FF…Je l’utilise quotidiennement et pas de gros ralentissemnt sur mes tests.
    Le nouveau ff 3.5 c’est lourd et buggué et plantage irrécupérable je le garde car je m’en sers pour stocké mes codes et quand ie8 ne fait pas ce que je lui demande!
    Quant à chrome c’est un parasite lui même et pas de réelle bénéfice c’est pas parce que l’on a une interface épuré que l’on fait mieux que les autres!
    C”est vrai qu’Opéra est bon et beau mais trop complexe à utiliser il faut s’y mettre, quant à Safari c’est un gag sous windows!
    En fait Ie8 ff cool, Opéra ca va, Chrome bof, et Safari à désinstaller!

  7. Ben t’es sérieux?
    Tu connais quelquechose en informatique? Qu’est ce que tu fais à la rédaction du JDG?
    Je cite :
    “Parmi les exploits recensés par Cenzic, on notera la présence d’injections SQL (25%)”

    Ce genre de faille, c’est coté serveur, et coté serveur, il n’y a pas de “naviguateur”.
    Tu peux peut être faire de l’injection sql depuis un naviguateur, mais dans ce cas, c’est l’attaquant qui utilise un naviguateur, et donc je ne vois pas en quoi cela à un rapport avec la vulnérabilité d’un naviguateur.

    Et puis je trouve que cette société dis de la merde, parce que juger la robustesse technique d’un naviguateur en prenant par exemple en compte le phishing … C’est débile, complétement débile. Ca n’a rien à voir avec le naviguateur, c’est l’utilisateur qui est escroqué, de plus, FF a une blacklist des sites de phishing (pas tous hélas) et prévient en cas d’arnaque.

    Bref, Ben, en plus de te faire remarque pour être un troll pro-Apple, tu prouve que t’y comprends rien à ce que tu écris

  8. +1 moons

    … ou comment perdre toute crédibilité en un post.

    Faire beaucoup de billets, c’est bien.
    En faire des intéressants et fiable, c’est mieux.

  9. En quoi l’injection SQL est si peu plausible ? Je vous rappelle que tout (mots de passe, favoris, formulaires, etc.) est stockée dans des fichiers de base de donnée sqlite depuis FF3 : une injection n’est donc pas si farfelue que ça. Je ne vois pas comment l’exploiter autrement que sur la machine, mais ça peut exister.

  10. Je trouve que cette information est s.

    Une étude balance un graphique sans explication du comment (flou) et on relaye bêtement l’information.

    – quelles versions de navigateur sont utilisées ?
    – ont-il testé les navigateurs avec ou sans extensions ? à jour ?
    – quelles bases d’exploits ont ils utilisées ? des connus du public ?
    – …

    Je trouve que cette étude aurait dû être relayer avec du recul, et que l’auteur du post aurait du mettre en doute l’interprétation de ce graphique … un peu à la manière d’ici : http://www.developpez.net/forums/d834457/club-professionnels-informatique/actualites/firefox-navigateur-plus-vulnerable-etude-jette-doute/

  11. @moons @gorn… Messieurs avant de crier allez lire l’étude en pdf dans le lien cité et vous comprendrez de quoi on parle! Arretez de vous prendre pour des génies cette études rescence toute les vulnérabilités et analyse toutes les failles et pas uniquement les browsers(merd.. il fallait faire 2 clics pour lire toute l’étude en pdf)….
    Un peu de reflexion pourrait vous amener à voir que si 44% des attaques atteignent ff il y a 25% qui sont sql et donc si il n’y a pas de chevauchement c’est tout a fait possible car il me semble que 44+25 n’a jamias fait plus de 100%!
    Et un peu d’attention dans de lecture de l’article de Ben et bien vous verrez qu’il fait deux sauts de paragraphes ce qui en bon francais signifie qu’il ne parle plus des browsers mais des exploits!!!!
    Messieurs les Savants un peu de sérieux dans les comentaires ne nuirait pas….

  12. Regardez les commentaires dans la source, l’étude vient de Microsoft à la base, et le site a fait juste un copier/coller…Bref pas crédible

  13. @picool j’ai lu les commentaires et c’est navrant ils concluent cette société est agréée par m$ c’est donc m$ qui est derrière…
    Ridicule comme argument car dans leur précédent rapport celui de mars 2009 c’était ie qui était bonnet d’ane c’est une société qui vend de la sécurité tu m’étonnes qu’elle ai toutes les certifications possible! Décrite comme cela dans les journaux économique sérieux “Cenzic, the leading provider of Web application vulnerability assessment and risk management solutions”.
    Je ne crois pas que ce rapport puisse donner une idée complète de la vulnérabilité mais il appui là ou cela fait mal pour ff et si il y a des failles il vaut mieux en parler pour les colmater que faire semblant qu’elles n’existent pas!!!!

  14. D’un autre côté si il y avait eu une quelconque influence de microsoft IE serait premier et non Opera.

    Argument rejeté!

  15. @cxhx le génie
    Avant de dire n’importe quoi, tu parle de chevauchement entre le 44% et 25%, ok.

    Puis tu additionne les deux parts pour dire que c’est < 100%, ca ne veut rien dire et prouve que tu n'as rien compris, car les deux parts sont calculées dans des espace indépendants.

    @Nero, et alors tu fais comment pour avoir accés à la base sqlite de FF? Moi je serai bien curieux de savoir, car la base de données est entiérement transparente (selon moi) par rapport à l'utilisateur, à aucun moment je n'ai vu de formulaire ou assimilé pour y mettre une requête.

    Enfin bref, si ca vous fait plaisir, utilisez IE8, vous avez raison…

    http://www.developpez.net/forums/d834457/club-professionnels-informatique/actualites/firefox-navigateur-plus-vulnerable-etude-jette-doute/#post4777378

  16. Et j’ai même oublié que IE avait un gadget trop surpuissant(lol), et surtout invulnérable (lol) et super sécurisé (lol), j’ai nommé : ActiveX

  17. @moons tu as dis des sottises j’y peu rien et j’ai écrit “c’est tout à fait possible” c’est francais que je sache, je reconnais que ce que j’ai dit est bien moins stupide que ce que tu as dit. 44% des 8% pour être exact et cela ne se chevauche pas avec les attaques sql comme je l’ai dit….
    FF c’est de la merde en terme de sécurité par rapport à IE8 et cela encore j’y peu rien! Là je ne parle pas de fantasme mais de réalité…Rassures toi comme tu peux!
    Donc pour être plus clair voilà pour toi je ne voulais pas reciter l’étude mais comme apparement t’a rien compris:
    Of the Web vulnerabilities, Web Browser vulnerabilities comprised eight percent of the total vulnerabilities found, and Web servers comprised two percent. Vulnerabilities in the code of commercial Web applications was 90 percent of the total Web related vulnerabilities.
    Of the browser vulnerabilities, the big surprise was that Firefox at 44 percent had significantly more vulnerabilities than the other browsers. What was also surprising was that Safari vulnerabilities which are usually very low came in at 35 percent, significantly higher than even Internet Explorer which comprised 15 percent of the browser vulnerabilities and Opera with six percent of total browser vulnerabilities.

  18. J’oubliais Maintenant fait tes plus plates excuses à Ben car tu ne sais pas lire car son article était exact dans sa redaction et dans la fidélité à l’étude précité….

  19. Bonjour,

    En tant que développeur, je précise que Mozilla firefox respecte les standards, ce qui n’est pas le cas de IE.

    J’apprécie aussi certains plugins comme Firebug, une console pour débeuger…, celle de IE n’avance a rien!

    En tout cas, j’ai testé IE 8. Pour moi, ce n’est pas un produit fini.
    Je crois que chez M$, on a pas encore tout à fait compris ce que devait être un navigateur (espérons que sa sera pas le cas de IE9).

    Un newbie devant firefox arrivera à se débrouiller très vite après l’installation, même après la toute dernière version 3.5.5.
    Par contre, avec IE8, ce n’est pas le cas.

    Personnellement, il m’arrive d’installer de nouvelles machines sous différents OS à des personnes qui n’ont pas forcément les connaissances de base. J’ai fait l’essai et je n’en démordrai pas, la daube, c’est IE, mais certainement pas Firefox.

    De plus, l’aspect sécurité est important. Une faille découverte sur firefox est corrigée très vite, dans un délai d’environ 24 heures.
    Ce n’est pas du tout le cas de IE qui est largement à la traine dans ce domaine.

    a plus 8)

  20. bonjour,
    voici un article récent sur IE
    article 2010/01/17
    —–

    Deux organismes allemands et français ont émis une mise en garde en fin de semaine contre l’utilisation d’Internet Explorer, demandant à Microsoft de régler les défauts de sécurité de son navigateur. Jeudi 14 janvier, le géant américain du logiciel avait annoncé qu’une faille de sécurité de son navigateur avait été exploitée pour mener les cyber-attaques qui ont poussé Google à menacer de cesser ses activités en Chin

    —-
    voir ce lien:

    http://www.lemonde.fr/technologies/article/2010/01/17/la-france-et-l-allemagne-deconseillent-l-utilisation-d-internet-explorer_1292928_651865.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode