Doit-on changer son navigateur pour IE9 ?

0 commentaires

Les navigateurs restent des portes ouvertes dans le SI depuis l’extérieur et sont une cible de choix pour les attaquants. Leur résistance aux attaques est donc un paramètre fondamental d’une stratégie de sécurité.

Ainsi, IE9 serait le navigateur le plus sûr au niveau du Blocage des Malwares et de la Fraude aux Clics selon une étude de la société NSS LABS.
Bon fondamentalement, en partant du principe que les experts de NSS sont des gens sérieux et transparents, ce résultat est assez intéressant à analyser :

– car IE9 « écrase » la concurrence et que cela peut inquiéter, Firefox 7-13 et Safari 5 ne bloquant « que » 6% des malwares
– car les tests semblent assez conséquents pour être représentatifs (227 841 URLs testées, 84 000 infectées)
– car il alimente le débat du « doit-on changer de navigateur en fonction des publications sécurité ? »
– enfin, car nous parlons d’études sur des navigateurs récents, généralement utilisés par le grand public. Mais quid de l’informatique d’entreprise, qui malheureusement est moins souple que l’informatique grand public ? Ainsi, il n’est pas rare de trouver encore des sociétés dont le parc est sous IE6 … quelles positions doivent adopter les RSSI de ces entreprises lorsque des résultats comme ceux-ci sont publiés ?

 

Alors, étant donné que IE9 bloque 95% des malwares qui lui sont proposés, faut-il abandonner votre navigateur favori pour surfer en toute sécurité avec IE9 ? Rien n’est moins sûr selon Brian Krebs.

En effet, dans un autre article traitant des 0-Day sur les navigateurs, ce dernier indique que si nous partons du principe qu’un « vrai » 0-Day correspond à une faille non patchée activement exploitée alors IE semble être le navigateur le moins sécurisé : 6 failles ont ainsi été activement exploitées ces deux dernières années (notamment les codes d’exploit ont été publiés dans les kits tels que le Blackhole Exploit kit). Il n’y a aucune occurence connue du même cas pour FireFox et Chrome …

 

Cependant, cette statistique ne tient pas compte de vulnérabilités dans des extensions comme Java (voir notre news précédente à ce sujet) ou Flash par exemple …

 

D’autres études, plus anciennes, montraient que Chrome étaient le navigateur le plus sécurisé contre les techniques d’exploitation avancées

 

Nous retiendrons donc qu’un navigateur peut être le meilleur en blocage de malwares, le pire en termes de compromission par exploitation active de 0-Day, et que tout cela n’est valable que sur une période donnée.

 

Sur la base de ces éléments, il semble malheureusement toujours nécessaire d’alterner entre plusieurs navigateurs, en fonction des tendances et des publications en sécurité …

 

A très bientôt 😉

 

Facebooktwitterlinkedin