Rapport de Symantec : Tristan Nitot répond

Petite faille dans les dénonciations de Symantec ? 40

Lorsque nous avons pris connaissance du rapport à contre-courant de Symantec dans la journée d'hier, nous avons contacté Tristan Nitot pour avis. Co-fondateur et président de Mozilla Europe, il a souhaité nous répondre en nous faisant part de ses réflexions sur ces données.

Tristan Nitot : "D'abord, merci de me donner l'occasion d'expliquer à vos lecteurs ce qu'il y a vraiment derrière ces chiffres, contrairement à de trop nombreux sites qui ont publié les chiffres de Symantec sans chercher à informer leurs lecteurs.

Malheureusement, Symantec ne donne pas de détails sur ses chiffres. Aussi, je vais reprendre ceux qui sont publics de Secunia.com, un organisme indépendant.

Reportons-nous aux bulletins Secunia sur Firefox et IE :

On remarquera que :
  1. Les chiffres nous sont défavorables car la période est courte et donc moins représentative. Si on prend comme référence une période plus longue, alors Microsoft a beaucoup plus de trous de sécurité
  1. Les failles sont moins critiques pour Firefox (pas de faille hautement critique, d'après Secunia.com)
  1. Elles sont corrigées plus vite, ce qui fait que nos utilisateurs sont moins exposés. Pour Firefox, c'est actuellement 6% de failles non corrigées, mais la sortie imminente de Firefox 1.0.7 devrait faire tomber ce chiffre à 0. A l'inverse, Secunia annonce 45% de failles non patchées pour Internet Explorer.

Certes, il y a des trous de sécurité dans Firefox, et aucun logiciel codé par des humains ne peut prétendre être parfait. La sécurité n'est pas un produit, c'est un processus : dès qu'un trou de sécurité est publié, nous faisons tout notre possible pour mettre dans les mains de l'utilisateur une solution.

Prenons l'exemple de la dernière alerte, l'IDN Buffer Overflow". Le 6 septembre, Tom Ferris nous contacte pour nous informer qu'il a découvert un problème. Contre toute attente, il publie l'information le 8. Dès le lendemain, nous proposons sur notre site une solution qui évite le problème (soit un changement de paramètre, soit l'application d'une rustine par simple clic). Firefox 1.0.7 devrait sortir dans les heures à venir et corriger la source de ce problème.

En conclusion, notre réactivité, associée à la qualité du code et son mode de développement Libre, font que nos utilisateurs sont largement moins exposés. Mais la partie n'est jamais gagnée, et il nous faut sans cesse être vigilants, ce que nous sommes "