Hispasec, un laboratoire espagnol dédié à la recherche sur la sécurité de l'information a publié les résultats d'une étude comparative sur les capacités de détection de sites frauduleux par les principaux navigateurs web du marché.

Pour les plus pressés et moins attentifs, voici le podium (4 places) des navigateurs avec lesquels la navigation est la plus sécurisée (dans l'ordre décroissant):
  • Première position: Firefox (Mozilla) (35.08%)
  • 2nde: Chrome (32.76%)
  • 3ème: Internet Explorer (25.39%)
  • 4ème: Opera (8.34%)

Au terme de cette étude, le navigateur Firefox gagne donc la palme du navigateur le mieux sécurisé.

Toutefois, vous le devinerez, quelque chose m'interpelle. Trois choses pour être précis.


Combien de jours entre toi et moi?


En premier lieu, j'ai trouvé intéressant de remonter jusqu'à la source de l'étude et d'observer la chronologie de diffusion des résultats.

En effet, la nouvelle est propagée en ce moment-même par de nombreux magazines en ligne et le sera très certainement d'ici quelques heures par la presse grand public gratuite. Toutefois, l'observatoire Hispasec a publié ses résultats le 1er octobre 2010, soit, il y a bien plus d'un mois. L'information ayant été rendue publique en langue espagnole, je me demande dans quelle mesure cette barrière linguistique pourrait avoir impacté sur le temps entre l'annonce originale et celle dans la presse francophone... Si des étudiants cherchent un sujet de mémoire, voici une proposition: mesurer la vitesse à laquelle l'information sur la sécurité de l'information circule selon la langue utilisée par la source pour communiquer!


35%? Seulement?!?!?


Le second élément de réflexion est dans l'observation des résultats. J'ai fait une simple recherche sur Google "Hispasec AND Firefox AND Opera" (la probabilité d'avoir ces trois termes réunis dans l'actualité récente est un assez bon gage de qualité du retour) en passant par les différentes versions linguistiques du moteur de recherche. Au total: 16 articles consultés, et un peu plus d'une trentaine de commentaires de visiteurs.

Un seul auteur a émis une remarque qualitative sur les chiffres, le rédacteur du site Autour du Web, qui a remarqué, je cite:
"Bien que Firefox soit le grand champion de ce comparatif, on peut souligner le faible niveau de protection en général."
(bien entendu, cela n'a de valeur que dans la mesure où j'ai choisi mes 16 liens)

Après avoir longuement festoyé sur l'arrivée du navigateur libre en pôle position du classement, l'on peut en effet observer que les 4 meilleurs navigateurs du marché sont incapables, en moyenne, de détecter plus de 70% des sites frauduleux. Sur ce point, peu de monde semble s'étouffer de voir des chiffres aussi bas.

Ce qui m'amène au troisième point, de loin le plus important.


"Navigateur sécurisé": kesako?


Sur les 16 dépêches ou articles observés, le titre contient l'information "Firefox, navigateur le plus sûr/sécurisé." Sur le plan de la communication, j'avoue que je trouve tout cela particulièrement désinformateur et dangereux pour la perception que les utilisateurs se font des navigateurs. Pourquoi?

Sans vouloir remettre en question la nature de l'étude de Hispasec, dont je trouve les résultats très utiles, elle démontre une fois de plus un biais que l'on observe très souvent dans le marché de la sécurité de l'information: l'incompréhension (ou la dissimulation volontaire) quant à la nature exacte de l'objet testé, et donc, du risque identifié.

Pour mieux comprendre la phrase ci-dessus, je repose la question inversée: comment déterminer le niveau de sécurité offert par un navigateur web? Sans trop fouiller dans des encyclopédies, l'on peut assez vite identifier quelques critères:
  • La présence, ou non, de vulnérabilités de sécurité dans le code source du navigateur
  • La présence, ou non, de vulnérabilités de sécurité dans le code source des extensions majoritairement installées par les utilisateurs du navigateur
  • La capacité du navigateur a identifier un site web comme émetteur de contenu potentiellement dangereux (filtrage des contenus hostiles)
  • Le degré d'isolation offert par le navigateur, entre le navigateur lui-même et le système d'exploitation sous-jacent (réduction de l'impact de l'exécution d'un contenu hostile)
  • La capacité de sécurisation du navigateur par des acteurs tiers, tels que les éditeurs de logiciels de sécurité proposant la prise en charge interne du navigateur (augmentation des capacités de filtrage)
  • La capacité du navigateur à se rendre compte que ses actions sont pilotées par un humain et non par un cheval de Troie (réduction de l'impact d'un code hostile activé)
  • Et sur un plan plus anticipatoire, la propension du navigateur à être identifié comme vulnérable à l'avenir (sur la base d'observations statistiques)
  • Etc.

Nous arrivons ici à 7 critères de contrôle pour qualifier le niveau de sécurité d'un navigateur web.

L'étude Hispasec a évalué les dispositifs de filtrage installés par défaut dans les navigateurs, tels que Safebrowsing (Google), SmartScreen (Microsoft) et Fraud Protection (Opera) en confrontant chacun des navigateurs à la consultation de 20'263 sites web proposant du contenu hostile. Chaque navigateur testé a ainsi accepté ou refusé, selon son filtre, d'afficher la page à l'utilisateur. Le résultat du test identifie le pourcentage des sites web que le navigateur a identifiés comme malicieux.

Seule la capacité native de filtrage du navigateur a donc été étudiée et c'est uniquement sur la base de cet élément que le classement a été formulé. Ne l'oublions donc pas lorsque l'on va recommander au voisin de changer ses habitudes de navigation!

Conclusion: lorsque la presse cite une étude, c'est rarement pour dire ce qui doit être dit ;)