Chrome couronné application ayant le plus de failles divulguées

Hinault Romaric · 19/11/2010, 13h49

Chrome couronné application ayant le plus de failles
Suivie par Safari et Microsoft Office selon le classement annuel de Bit9

L’éditeur de sécurité informatique Bit9 vient de publier son quatrième rapport annuel établissant le palmarès des applications les plus vulnérables, ou plus exactement, celles possédant le plus grand nombre de failles trouvées.

Dans ce rapport le navigateur Google Chrome est couronné comme étant l’application comptabilisant le plus de failles, suivis par Safari, Microsoft Office, Acrobat et Abode Reader et Firefox.

La liste « Dirty Dozen » est un classement des applications les plus populaires sur la base du nombre de cas de vulnerabiltés graves signalées par les utilisateurs finaux touchés au cours de l’année.

De ce classement il ressort que Google Chrome aurait comptabilisé 76 failles graves signalées, Safari 60 , Microsoft Office 57, Adobe Reader 54 et Firefox 51 .

Le fait que Chrome soit à la tête de cette liste ne signifie pas pour autant que celui-ci soit moins sûr que les autres. Harry Sverdlove directeur technique chez Bit9 souligne bien ce point.

Apple figure 3 fois sur la liste.

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.

Le classement de Bit9 est disponible sur cette page

Et vous ?

Que pensez-vous de ce classement?

FailMan · 19/11/2010, 14h38

Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

De plus Chrome est un soft qui évolue très vite.

Citation:

Envoyé par Hinault Romaric

Apple figure 3 fois sur la liste, ce qui vient dissiper le mythe selon lequel Apple serait plus sur que Windows ?

La comparaison est inutile, Windows c'est un programme, Apple est un développeur de programmes : Safari, iTunes, QuickTime, etc. etc.

Octopod · 19/11/2010, 14h52

Le nombre de failles n'est évidemment pas une donnée suffisante pour juger d'un logiciel. La réactivité à les corriger, qu'elle qu'en soit le nombre me paraît de loin plus important. Autre facteur, le nombre de failles découvertes est proportionnel à l'utilisation et aux nombres de testeurs "stressant" le logiciel. Un logiciel moins utilisé ou moins "malmené" peut sembler plus sur alors qu'il possède un nombre de failles non découvertes plus important. Bref, comme tout dans la vie, rien ne se résume à quelques chiffres.

Flaburgan · 19/11/2010, 14h52

chrome est jeune, c'est normal que de nombreuses failles soient trouvées, et il est en effet intéressant de noter la réactivité de Google pour les corriger. Pour autant, je ne m'imaginais pas qu'il serait le premier du classement.

@John, il me semblait que l'on avait pas tenté de pirater chrome justement...

zencorp · 19/11/2010, 15h06

Chrome évolue surtout trop vite, ce qui implique surement une approche de Test peu poussée. C'est plus facile de sortir rapidement des fonctionnalité et autres que la concurrence si on fait moins de contrôle à mon avis.

FailMan · 19/11/2010, 16h07

Citation:

Envoyé par Flaburgan

@John, il me semblait que l'on avait pas tenté de pirater chrome justement...

Il faudrait que je retrouve l'article, il avait tenté de hacker tous les navigateurs, cependant Chrome s'était montré plus sûr que les autres. Il y avait des failles, mais bien plus ardues à exploiter que celles présentes dans les autres navigateurs, du coup elles ont été abandonnées

JeitEmgie · 19/11/2010, 16h11

Méfiez-vous de la manière dont Bit9 comptabilise le nombre de failles :
ils comptent le nombre de CVE indépendamment du fait que plusieurs sont en fait causés par le même code…
par exemple un bug dans une librairie va se retrouver comptabilisé dans toutes les applications clientes de la librairie…

Ce qui revient en quelque sorte à compter le nombre de manières répertoriées jusqu'à présent pour exploiter un même problème : on comprend tout de suite la "volatilité" d'une telle mesure. Ce qui explique aussi pourquoi on perçoit une certaine contradiction entre ce rapport et la réalité vécue.

Par contre ce qui est frappant quand on va dans le détail c'est que la majorité des problèmes sont liés à des bugs dans le décodage de tel ou tel format de fichiers… et ceci quelque soit la plate-forme.

mekal · 19/11/2010, 16h24

le debut de la fin pour chrome

Kenaryn · 19/11/2010, 16h30

Citation:

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.

En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).

Hellwing · 19/11/2010, 16h41

Citation:

Envoyé par Kenaryn

En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).

Justement, ce qu'on lui reproche c'est de ne pas être exhaustive, puisqu'elle ne peut pas tenir compte des failles non divulguées.

Rien n'empèche un produit ayant 50 failles signalées d'avoir en réalité dépassé les 250 failles, mais ça, l'étude ne peut pas le savoir. Et ce qu'on lui reproche c'est justement de prendre en compte 50 au lieu de 250.

atha2 · 19/11/2010, 18h23

Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.

kain_tn · 19/11/2010, 20h36

Citation:

Envoyé par atha2

Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.

Oui et aussi le fait que certains des softs cités sont open-source (sources accessibles à tous donc dans l'absolu plus de monde pour détecter des failles. Ok firefox 4 échappe la règle vu son classement ci-dessus mais bon, on peut penser qu'il est très jeune puisqu'il est en beta)

air-dex · 20/11/2010, 01h23

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

Ceci dit, ce ne serait pas mal non plus que Google Chrome se focalise moins sur son nombre de millisecondes à Sunspider et se reconcentre sur sa stabilité qui commence à partir en vrille. Il n'y a qu'à voir l'affichage des thèmes sur la dernière version pour s'en rendre compte.

Citation:

Envoyé par kain_tn

Ok firefox 5 échappe la règle vu son classement ci-dessus mais bon, on peut penser qu'il est très jeune puisqu'il est en beta)

D'un autre côté, il n'existe pas encore, pas même en bêta.

C'est donc normal qu'il échappe à la règle.

kain_tn · 20/11/2010, 11h42

Citation:

Envoyé par air-dex

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

Ceci dit, ce ne serait pas mal non plus que Google Chrome se focalise moins sur son nombre de millisecondes à Sunspider et se reconcentre sur sa stabilité qui commence à partir en vrille. Il n'y a qu'à voir l'affichage des thèmes sur la dernière version pour s'en rendre compte.

D'un autre côté, il n'existe pas encore, pas même en bêta.

C'est donc normal qu'il échappe à la règle.

Exact (copier-coller de m....).
C'est corrigé :p

SurferIX · 20/11/2010, 15h05

Citation:

Envoyé par JohnPetrucci

Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

De plus Chrome est un soft qui évolue très vite.

Exact. +1 pour toi

Je pense même que c'est la rapidité des corrections est à prendre en compte au moins autant que le nombre de failles elles-même. Les statistiques seraient complètement différentes et bien plus réalistes.

[TROLL]Et Linux là dedans ? Il est où ?[/TROLL]

Plus sérieusement c'est une étude qui vient de Pipoland.
Ce ne serait pas Microsoft qui l'aurait commandé par hasard (vu qu'ils n'y sont, comme par hasard, pas ?)

Et effectivement, j'insiste sur le côté BlackHat : les hackers ont confié eux-même que de par le principe des sandbox, qui est unique et spécifique à Chrome, le hacking est rendu nettement plus difficile. Faille ou pas faille, le hacking de Chrome est nettement plus difficile que pour tous les autres navigateurs.

kOrt3x · 21/11/2010, 11h10

Rien que pour ça et le fait que Firefox évolue et devient rapide sous Mac, j'utilise maintenant Firefox 4.

hivenz · 22/11/2010, 08h07

Citation:

Envoyé par air-dex

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

N'importe quoi.

Pourquoi ne pas utiliser firefox dans ce cas ?

De plus, Google donne de l'argent à ceux qui trouvent des failles (tout comme Mozilla d'ailleurs).

kaiser59 · 24/11/2010, 14h39

Comment peuvent il dire que MS office est plus sûr que Chrome... ?

Je comprend pas trop, personnellement je trouve ça pas très comparable office c'est une suite de logiciel pas un navigateur ne serait il pas plus judicieux de le comparer avec OpenOffice et consoeur ? Idem pour adobe reader je ne savais pas qu'il faisait navigateur aussi ^^

Rien qu'à voir leur comparaison, on peut se demander s'ils sont vraiment sérieux...

mortapa · 24/11/2010, 15h09

Citation:

Envoyé par kaiser59

pour adobe reader je ne savais pas qu'il faisait navigateur aussi

Citation:

Web Browsers, Desktop Software Top “Dirty Dozen” Apps List

Flaburgan · 24/11/2010, 15h15

Ils ne disent pas qu'ils sont plus sûrs, ils chiffrent juste le nombre de failles découvertes...
Bien sûr qu'un web browser est plus sensible aux attaques qu'un logiciel de bureau...

19/11/2010, 13h49	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 110 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 110 Points : 30 808 Points : 30 808	Chrome couronné application ayant le plus de failles divulguées Chrome couronné application ayant le plus de failles Suivie par Safari et Microsoft Office selon le classement annuel de Bit9 L’éditeur de sécurité informatique Bit9 vient de publier son quatrième rapport annuel établissant le palmarès des applications les plus vulnérables, ou plus exactement, celles possédant le plus grand nombre de failles trouvées. Dans ce rapport le navigateur Google Chrome est couronné comme étant l’application comptabilisant le plus de failles, suivis par Safari, Microsoft Office, Acrobat et Abode Reader et Firefox. La liste « Dirty Dozen » est un classement des applications les plus populaires sur la base du nombre de cas de vulnerabiltés graves signalées par les utilisateurs finaux touchés au cours de l’année. De ce classement il ressort que Google Chrome aurait comptabilisé 76 failles graves signalées, Safari 60 , Microsoft Office 57, Adobe Reader 54 et Firefox 51 . Le fait que Chrome soit à la tête de cette liste ne signifie pas pour autant que celui-ci soit moins sûr que les autres. Harry Sverdlove directeur technique chez Bit9 souligne bien ce point. Apple figure 3 fois sur la liste. Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications. Le classement de Bit9 est disponible sur cette page Et vous ? Que pensez-vous de ce classement? __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	11

19/11/2010, 14h52	#3
Octopod Membre du Club Inscription : octobre 2005 Messages : 38 Détails du profil Informations personnelles : Âge : 33 Localisation : France Informations forums : Inscription : octobre 2005 Messages : 38 Points : 55 Points : 55	Ne soyez pas simplistes Le nombre de failles n'est évidemment pas une donnée suffisante pour juger d'un logiciel. La réactivité à les corriger, qu'elle qu'en soit le nombre me paraît de loin plus important. Autre facteur, le nombre de failles découvertes est proportionnel à l'utilisation et aux nombres de testeurs "stressant" le logiciel. Un logiciel moins utilisé ou moins "malmené" peut sembler plus sur alors qu'il possède un nombre de failles non découvertes plus important. Bref, comme tout dans la vie, rien ne se résume à quelques chiffres.
	60

19/11/2010, 14h52	#4
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 036 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 036 Points : 2 480 Points : 2 480	chrome est jeune, c'est normal que de nombreuses failles soient trouvées, et il est en effet intéressant de noter la réactivité de Google pour les corriger. Pour autant, je ne m'imaginais pas qu'il serait le premier du classement. @John, il me semblait que l'on avait pas tenté de pirater chrome justement... __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	30

19/11/2010, 16h24	#8
mekal Membre chevronné Krusty Inscription : mai 2009 Messages : 472 Détails du profil Informations personnelles : Nom : Krusty Localisation : France Informations forums : Inscription : mai 2009 Messages : 472 Points : 617 Points : 617	le debut de la fin pour chrome __________________ programmer n'est pas connaitre tous les moindres détails d'un langage mais savoir exploiter sous toutes ses facettes ce que l'on connait.
	05

21/11/2010, 11h10	#16
kOrt3x Rédacteur/Modérateur Aurélien Gaymay Technicien Informatique/Etudiant Web Inscription : septembre 2006 Messages : 2 320 Détails du profil Informations personnelles : Nom : Aurélien Gaymay Âge : 29 Localisation : France, Nord (Nord Pas de Calais) Informations professionnelles : Activité : Technicien Informatique/Etudiant Web Secteur : Santé Informations forums : Inscription : septembre 2006 Messages : 2 320 Points : 7 272 Points : 7 272	Rien que pour ça et le fait que Firefox évolue et devient rapide sous Mac, j'utilise maintenant Firefox 4. __________________ QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore) QuickEvent Lite : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore) ______________________________________________________________________________________ La rubrique Mac - Les cours & tutoriels Mac - Critiques de Livres Mac
	00

19/11/2010, 15h06	#5
zencorp Membre habitué Inscription : octobre 2006 Messages : 57 Détails du profil Informations personnelles : Localisation : Suisse Informations forums : Inscription : octobre 2006 Messages : 57 Points : 105 Points : 105	Chrome évolue surtout trop vite, ce qui implique surement une approche de Test peu poussée. C'est plus facile de sortir rapidement des fonctionnalité et autres que la concurrence si on fait moins de contrôle à mon avis.
	41

19/11/2010, 16h11	#7
JeitEmgie Expert Confirmé Inscription : septembre 2006 Messages : 2 288 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : septembre 2006 Messages : 2 288 Points : 2 734 Points : 2 734	Méfiez-vous de la manière dont Bit9 comptabilise le nombre de failles : ils comptent le nombre de CVE indépendamment du fait que plusieurs sont en fait causés par le même code… par exemple un bug dans une librairie va se retrouver comptabilisé dans toutes les applications clientes de la librairie… Ce qui revient en quelque sorte à compter le nombre de manières répertoriées jusqu'à présent pour exploiter un même problème : on comprend tout de suite la "volatilité" d'une telle mesure. Ce qui explique aussi pourquoi on perçoit une certaine contradiction entre ce rapport et la réalité vécue. Par contre ce qui est frappant quand on va dans le détail c'est que la majorité des problèmes sont liés à des bugs dans le décodage de tel ou tel format de fichiers… et ceci quelque soit la plate-forme.
	20

19/11/2010, 18h23	#11
atha2 Membre chevronné Gabriel VIOT Étudiant Inscription : janvier 2007 Messages : 455 Détails du profil Informations personnelles : Nom : Gabriel VIOT Âge : 24 Localisation : France, Calvados (Basse Normandie) Informations professionnelles : Activité : Étudiant Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : janvier 2007 Messages : 455 Points : 660 Points : 660	Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.
	51

24/11/2010, 14h39	#18
kaiser59 Modérateur Inscription : novembre 2005 Messages : 1 246 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : novembre 2005 Messages : 1 246 Points : 1 203 Points : 1 203	Comment peuvent il dire que MS office est plus sûr que Chrome... ? Je comprend pas trop, personnellement je trouve ça pas très comparable office c'est une suite de logiciel pas un navigateur ne serait il pas plus judicieux de le comparer avec OpenOffice et consoeur ? Idem pour adobe reader je ne savais pas qu'il faisait navigateur aussi ^^ Rien qu'à voir leur comparaison, on peut se demander s'ils sont vraiment sérieux... __________________ Ne dites pas Java pour dire Javascript ! Ces deux codes n'ont rien à voir ! // Essayez d'expliquer, de la façon la plus claire possible votre problème. // Parfois une image vaut mieux qu'un long discours FAQ ASP
	10

24/11/2010, 15h15	#20
Flaburgan Modérateur Développeur informatique Inscription : avril 2010 Messages : 1 036 Détails du profil Informations personnelles : Sexe : Localisation : France, Isère (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Électronique et micro-électronique Informations forums : Inscription : avril 2010 Messages : 1 036 Points : 2 480 Points : 2 480	Ils ne disent pas qu'ils sont plus sûrs, ils chiffrent juste le nombre de failles découvertes... Bien sûr qu'un web browser est plus sensible aux attaques qu'un logiciel de bureau... __________________ "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla Je soutiens Diaspora*, le réseau social libre. Veillez à porter une attention toute particulière à l'orthographe... Blog collaboratif avec des amis : http://geexxx.fr
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email