Discussion :

[Hinault Romaric]

Chrome couronné application ayant le plus de failles
Suivie par Safari et Microsoft Office selon le classement annuel de Bit9

L’éditeur de sécurité informatique Bit9 vient de publier son quatrième rapport annuel établissant le palmarès des applications les plus vulnérables, ou plus exactement, celles possédant le plus grand nombre de failles trouvées.

Dans ce rapport le navigateur Google Chrome est couronné comme étant l’application comptabilisant le plus de failles, suivis par Safari, Microsoft Office, Acrobat et Abode Reader et Firefox.

La liste « Dirty Dozen » est un classement des applications les plus populaires sur la base du nombre de cas de vulnerabiltés graves signalées par les utilisateurs finaux touchés au cours de l’année.

De ce classement il ressort que Google Chrome aurait comptabilisé 76 failles graves signalées, Safari 60 , Microsoft Office 57, Adobe Reader 54 et Firefox 51 .

Le fait que Chrome soit à la tête de cette liste ne signifie pas pour autant que celui-ci soit moins sûr que les autres. Harry Sverdlove directeur technique chez Bit9 souligne bien ce point.

Apple figure 3 fois sur la liste.

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.


Le classement de Bit9 est disponible sur cette page

Et vous ?

Que pensez-vous de ce classement?

[FailMan]

Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

De plus Chrome est un soft qui évolue très vite.

Apple figure 3 fois sur la liste, ce qui vient dissiper le mythe selon lequel Apple serait plus sur que Windows ?

La comparaison est inutile, Windows c'est un programme, Apple est un développeur de programmes : Safari, iTunes, QuickTime, etc. etc.

[Octopod]

Le nombre de failles n'est évidemment pas une donnée suffisante pour juger d'un logiciel. La réactivité à les corriger, qu'elle qu'en soit le nombre me paraît de loin plus important. Autre facteur, le nombre de failles découvertes est proportionnel à l'utilisation et aux nombres de testeurs "stressant" le logiciel. Un logiciel moins utilisé ou moins "malmené" peut sembler plus sur alors qu'il possède un nombre de failles non découvertes plus important. Bref, comme tout dans la vie, rien ne se résume à quelques chiffres.

[Flaburgan]

chrome est jeune, c'est normal que de nombreuses failles soient trouvées, et il est en effet intéressant de noter la réactivité de Google pour les corriger. Pour autant, je ne m'imaginais pas qu'il serait le premier du classement.

@John, il me semblait que l'on avait pas tenté de pirater chrome justement...

[zencorp]

Chrome évolue surtout trop vite, ce qui implique surement une approche de Test peu poussée. C'est plus facile de sortir rapidement des fonctionnalité et autres que la concurrence si on fait moins de contrôle à mon avis.

[FailMan]

@John, il me semblait que l'on avait pas tenté de pirater chrome justement...

Il faudrait que je retrouve l'article, il avait tenté de hacker tous les navigateurs, cependant Chrome s'était montré plus sûr que les autres. Il y avait des failles, mais bien plus ardues à exploiter que celles présentes dans les autres navigateurs, du coup elles ont été abandonnées

[JeitEmgie]

Méfiez-vous de la manière dont Bit9 comptabilise le nombre de failles :
ils comptent le nombre de CVE indépendamment du fait que plusieurs sont en fait causés par le même code…
par exemple un bug dans une librairie va se retrouver comptabilisé dans toutes les applications clientes de la librairie…

Ce qui revient en quelque sorte à compter le nombre de manières répertoriées jusqu'à présent pour exploiter un même problème : on comprend tout de suite la "volatilité" d'une telle mesure. Ce qui explique aussi pourquoi on perçoit une certaine contradiction entre ce rapport et la réalité vécue.

Par contre ce qui est frappant quand on va dans le détail c'est que la majorité des problèmes sont liés à des bugs dans le décodage de tel ou tel format de fichiers… et ceci quelque soit la plate-forme.

[Invité]

le debut de la fin pour chrome

[Aurelien Plazzotta]

Ce rapport a peine publié a été critiqué par plusieurs éditeurs car ceux-ci estiment qu’il ne tient pas compte de plusieurs données notamment : les améliorations qu’aurait subit Chrome tout le long de l’année, la rapidité avec laquelle les bugs sont corrigés et le fait que certaines entreprises ne divulguent pas publiquement toutes les failles trouvées sur leurs applications.

En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).

[Hellwing]

En ce qui me concerne, je ne suis pas d'accord avec ce dernier point étant donné que l'étude a comptabilité les failles de sécuritées SIGNALEES (reported).

Justement, ce qu'on lui reproche c'est de ne pas être exhaustive, puisqu'elle ne peut pas tenir compte des failles non divulguées.

Rien n'empèche un produit ayant 50 failles signalées d'avoir en réalité dépassé les 250 failles, mais ça, l'étude ne peut pas le savoir. Et ce qu'on lui reproche c'est justement de prendre en compte 50 au lieu de 250.

[atha2]

Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.

[kain_tn]

Il faut aussi prendre en compte dans l'interprétation des résultats que google offre 1337$ par faille signalée. Donc forcément, il y a plus de personnes qui cherchent des failles sur chrome donc plus (statistiquement) de failles trouvées.

Oui et aussi le fait que certains des softs cités sont open-source (sources accessibles à tous donc dans l'absolu plus de monde pour détecter des failles. Ok firefox 4 échappe la règle vu son classement ci-dessus mais bon, on peut penser qu'il est très jeune puisqu'il est en beta)

[air-dex]

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

Ceci dit, ce ne serait pas mal non plus que Google Chrome se focalise moins sur son nombre de millisecondes à Sunspider et se reconcentre sur sa stabilité qui commence à partir en vrille. Il n'y a qu'à voir l'affichage des thèmes sur la dernière version pour s'en rendre compte.

Ok firefox 5 échappe la règle vu son classement ci-dessus mais bon, on peut penser qu'il est très jeune puisqu'il est en beta)

D'un autre côté, il n'existe pas encore, pas même en bêta. C'est donc normal qu'il échappe à la règle.

[kain_tn]

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

Ceci dit, ce ne serait pas mal non plus que Google Chrome se focalise moins sur son nombre de millisecondes à Sunspider et se reconcentre sur sa stabilité qui commence à partir en vrille. Il n'y a qu'à voir l'affichage des thèmes sur la dernière version pour s'en rendre compte.


D'un autre côté, il n'existe pas encore, pas même en bêta. C'est donc normal qu'il échappe à la règle.

Exact (copier-coller de m....).
C'est corrigé :p

[SurferIX]

Marrant, au BlackHat 2010, Chrome avait été le seul navigateur sur lequel il n'avait pas été découvert de failles exploitables (contrairement à IE, Safari, Firefox).

De plus Chrome est un soft qui évolue très vite.

Exact. +1 pour toi
Je pense même que c'est la rapidité des corrections est à prendre en compte au moins autant que le nombre de failles elles-même. Les statistiques seraient complètement différentes et bien plus réalistes.

[TROLL]Et Linux là dedans ? Il est où ?[/TROLL]

Plus sérieusement c'est une étude qui vient de Pipoland.
Ce ne serait pas Microsoft qui l'aurait commandé par hasard (vu qu'ils n'y sont, comme par hasard, pas ?)

Et effectivement, j'insiste sur le côté BlackHat : les hackers ont confié eux-même que de par le principe des sandbox, qui est unique et spécifique à Chrome, le hacking est rendu nettement plus difficile. Faille ou pas faille, le hacking de Chrome est nettement plus difficile que pour tous les autres navigateurs.

[kOrt3x]

Rien que pour ça et le fait que Firefox évolue et devient rapide sous Mac, j'utilise maintenant Firefox 4.

[gillai]

C'est la rançon de la gloire pour Chrome : maintenant que les gens commencent à l'utiliser, les hackers se concentrent plus sur ce logiciel qu'avant. Et quand on cherche, on trouve.

N'importe quoi.

Pourquoi ne pas utiliser firefox dans ce cas ?

De plus, Google donne de l'argent à ceux qui trouvent des failles (tout comme Mozilla d'ailleurs).

[kaiser59]

Comment peuvent il dire que MS office est plus sûr que Chrome... ?

Je comprend pas trop, personnellement je trouve ça pas très comparable office c'est une suite de logiciel pas un navigateur ne serait il pas plus judicieux de le comparer avec OpenOffice et consoeur ? Idem pour adobe reader je ne savais pas qu'il faisait navigateur aussi ^^

Rien qu'à voir leur comparaison, on peut se demander s'ils sont vraiment sérieux...

[mortapa]

pour adobe reader je ne savais pas qu'il faisait navigateur aussi

Web Browsers, Desktop Software Top “Dirty Dozen” Apps List

[Flaburgan]

Ils ne disent pas qu'ils sont plus sûrs, ils chiffrent juste le nombre de failles découvertes...
Bien sûr qu'un web browser est plus sensible aux attaques qu'un logiciel de bureau...