IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Internet Explorer 10 moins vulnérable que ses concurrents
Microsoft détaille les fonctions de sécurité du navigateur

Le , par Hinault Romaric

163PARTAGES

2  10 
Le mois dernier, une étude du cabinet NSS Labs a montré qu’Internet Explorer 10 était plus sûr que n’importe lequel de ses concurrents, en ce qui concerne la protection des utilisateurs contre les téléchargements dangereux.

L’analyse, portant essentiellement sur la fonction SmartScreen du navigateur, a permis de constater qu’IE 10 sous Windows 8 était capable de bloquer près de 99,96 % des téléchargements de programmes malveillants.

Le navigateur dispose cependant de plusieurs autres évolutions dans le domaine de la sécurité qui n’ont pas été évaluées. Dans un récent billet de blog, Microsoft présente un peu plus en détails les fonctionnalités de sécurité qui ont été intégrées au navigateur.

Pour protéger les utilisateurs contre les attaques, Internet Explorer utilise une fonction de filtrage d’URL baptisée SmartScreen, combinée avec une méthode d’analyse de réputation des applications et un filtre XSS qui empêche automatiquement certains types d’attaques.

En plus d’être meilleur dans le blocage des logiciels malicieux, Internet Explorer 10 disposerait également de moins de vulnérabilités que les autres navigateurs. Ceci notamment grâce aux mises à jour automatiques, des fonctions de protection mémoire qui rendent difficile l’exploitation de certains types de vulnérabilités et l’ajout d’une nouvelle couche Enhanced Protected Mode.

Microsoft cite par exemple les rapports d’analyse « Secunia Vulnerability Review 2013 » et « Symantec's 2013 Internet Security Threat Report » qui montrent qu’Internet Explorer 10 a beaucoup moins de failles de sécurité que ses concurrents sur Windows.

L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.



Source : Microsoft

Et vous ?

Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 24/06/2013 à 16:38
Citation Envoyé par Hinault Romaric Voir le message
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Que developpez.com nous fait malheureusement encore passer de la publicité au minimum trompeuse, sinon mensongère, pour une news.

Tout d'abord, ces chiffres ne sont juste pas comparables vu que Firefox et Chromium sont open-source avec un suivi de projet ouvert au public, Toute les corrections de sécurité sont visibles pour tous. Le développement de IE est fermé, en général, seules les failles de sécurités révélées au public sont connues.

De plus, même si IE avait un développement ouvert, on peux difficilement comparer les failles de sécurité de manière uniquement quantitative. Les problème de sécurité ont des niveaux de risque et des délais de correction variable.

Enfin, comme dit plus haut, ça n'est que la liste des failles annoncées et donc corrigées. Ça peux aussi bien vouloir dire que Microsoft a beaucoup mois cherché de failles que Mozilla et Google et que par conséquent il est plus vulnérable.
6  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 24/06/2013 à 11:46
Citation Envoyé par Hinault Romaric Voir le message
Le mois dernier, une étude du cabinet NSS Labs a montré qu’Internet Explorer 10 était plus sûr que n’importe lequel de ses concurrents, en ce qui concerne la protection des utilisateurs contre les téléchargements dangereux.
Faux, cette étude ne montre en aucun cas cela ( il manque des données pour établir de vraie conclusion, cf ma réponse dans ce sujet ).

Citation Envoyé par Hinault Romaric Voir le message
L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.
Ces chiffres ne donnent en aucun cas un indicateur de sécurité des logiciels, en effet, le fait d'avoir plus d'alertes signifie simplement que plus de failles ont été trouvée (et donc seront corrigée) pas que l'application possède plus de failles. Sinon ces alertes sont comptée comment ? Sur quelle durée ?? (La même durée pour chaque navigateur ? )

Citation Envoyé par Hinault Romaric Voir le message
Pourquoi n'a-t-on pas les versions des navigateurs testés ?

Citation Envoyé par Hinault Romaric Voir le message
Source : Microsoft
La source nous fait douter quant à l'objectivité de ces études

Citation Envoyé par Hinault Romaric Voir le message
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Pour la sécurité, je ne peux rien dire vu qu'on a aucun élément concret à se mettre sous la dent. Quant à ces études, je ne suis pas vraiment allé creuser les sources pour voir si certains éléments ont été "oublié", etc. Mais tel que présenté ici, ce n'est que de la publicité maquillée pour internet explorer 10

Citation Envoyé par Hinault Romaric Voir le message
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Il ne me semble pas que IE10 soit disponible sur Ubuntu, je ne me pose donc même pas la question
6  1 
Avatar de
https://www.developpez.com
Le 24/06/2013 à 11:32
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Je pense que je n'ai plus confiance en IE donc ils peuvent dire qu'il est meilleur, malheureusement je ne les crois pas.

Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Juste pour tester mes sites, et le plus souvent je m'énerve contre ce navigateur !!!
5  1 
Avatar de arnolddumas
Rédacteur/Modérateur https://www.developpez.com
Le 24/06/2013 à 12:22
Citation Envoyé par Hinault Romaric Voir le message
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Une étude de Microsoft ventant un produit Microsoft.

Citation Envoyé par Hinault Romaric Voir le message
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Non et non. Le naviguateur ne propose rien d'innovant par rapport à la concurrence.
5  1 
Avatar de Mr_Exal
Membre expert https://www.developpez.com
Le 24/06/2013 à 12:49
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Je pense que c'est du flan.
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Comme Master-NiKo uniquement pour tester des sites webs et il m'arrive un tas de bizarreries (du genre un width qui est redimensionné à 954px et des poussières alors qu'il fait normalement 960px sur tous les autres navigateurs testés (opéra,safari,chrome,firefox) du coup tout mon design saute je n'ai toujours pas trouvé la solution ...)
3  1 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 25/06/2013 à 8:51
Citation Envoyé par stardeath Voir le message
à quand l'étude objective et sans biais des critiques de développez ici présent?

bref beaucoup de critique sans aucune action.
A quand des pubs Microsoft non maquillées en news sur DVP ?

Sérieusement, ça fait combien de fois que vous nous demandez si on pense migrer sur IE10 ?
2  0 
Avatar de elias551
Membre du Club https://www.developpez.com
Le 24/06/2013 à 12:44
IE bloque par défaut beaucoup de sites même s'ils ne sont pas malveillants, ca lui donne un avantage niveau sécurité.

Je pense que chrome + notScripts ou FF + noscript sont loin devant niveau sécurité, même si niveau confort de navigation c'est beaucoup plus... ennuyant.
2  1 
Avatar de Neckara
Inactif https://www.developpez.com
Le 25/06/2013 à 21:30
Citation Envoyé par stardeath Voir le message
sujet de philosophie :

personne ne peut change d'avis? ie ne peut pas évoluer pour une fois dans le bon sens? le seul fait que ça soit marqué microsoft fait perdre des valeurs de jugement?
Là n'est pas la question.

Que ie ai évolué pourquoi pas, que ie soit "supérieur" aux autres navigateurs, admettons.
Mais toujours est-il que ces chiffres ne signifient rien et n'ont aucune valeur sans compter les conclusions hâtives et injustifiables par ces chiffres.

Pour que ces chiffres aient une quelconque valeur, il faut avoir un minimum d'informations sur les conditions des expériences. Sans compter que parfois des chiffres complémentaires sont nécessaires (cf ma réponse dans le sujet http://www.developpez.com/actu/55427/ ).

On peut faire dire tout et n'importe quoi aux chiffres, c'est trop facile de jouer à ce jeu là.
J'ai une application A sortie en 1900 qui a eu 200 alertes de sécurité depuis sa sortie. A côté j'ai une application B sortie en 2012 qui a eu 40 alertes de sécurité.
200 alertes contre 40 alertes, l'application B serait-elle plus sûre ?
D'ailleurs, en quoi le nombre d'alertes est un indicateur de sécurité ?

Mon navigateur nommé TheSuperWebBroswerOfTheGeniusNeckara demande à chaque page une confirmation/montre une alerte et a alors un taux de blocage de... 100% (quelle sécurité !). Mais voilà, les utilisateurs ont désactivés ces messages ou ne les regardent plus, au final, aucune efficacité (cf paradoxe des faux-positifs).

Ces chiffres sont trop facilement contestables (et on ne va pas chercher bien loin pourtant). Tel que présenté ici, ce ne sont pas des études, mais de la publicité.
1  0 
Avatar de Neckara
Inactif https://www.developpez.com
Le 27/06/2013 à 11:43
Citation Envoyé par stardeath Voir le message
contredire, c'est pas moi qui apporte un truc qui veut tout et rien dire en l'imposant comme vérité absolu et indiscutable.
moi je dis que bloquer 1% de sites légitimes ou autoriser 1% de sites vérolés c'est du pareil au même, tu pourras trouver autant d'argument pour ou contre les 2.
Le fait même que le paradoxe des faux-positif existe invalide le raisonnement car on a alors un contre-exemple. Les données ne sont alors pas exploitables sans données complémentaires.

Ne pas la prendre en considération, c'est envoyer des milliers d'innocents en prison pour un assassin sous prétexte que la méthode trouve 80% des assassins et ne donne que 1% de faux positifs sur la population globale ( mais 99,9% des alertes sont des faux-positifs car les assassins représentent X% de la population globale).

De même pour le navigateur, si un blocage à 99% de chances d'être un faux-positif, il sera alors très vite ignoré ou désactivé par les utilisateurs par habitude le rendant totalement inefficace.

Citation Envoyé par stardeath Voir le message
tient donc, et depuis le début je demande un exemple d'études objectives et exhaustives, j'attends toujours ...
C'est du niveau lycéen de faire de telles études :
- tu prends des boîtes de pétri identique ;
- tu met une culture de bactérie dedans (même quantité pour chaque boîte) ;
- tu prend le même sel que tu verse à des quantité différente sur les boîtes de pétri sauf sur une boîte (boîte témoin) ainsi qu'une autre où tu met des petites billes de plastiques (boîte témoin 2) ;
- tu les met dans un placard prévu à cet effet (protégé de la lumière directe du soleil, environnement "neutre", etc. ) ;
- tu renseigne toutes les conditions de l'expérience (durée, sel utilisé, type de culture, les boîtes de pétri utilisé, température moyenne (?), manipulations effectuées, etc. ) ;
- tu regardes régulièrement au fil des jours l’évolution de tes cultures ;
- tu prends des photo régulières des boîtes ;
- tu regarde si le sel a un effet apparent quant au développement de tes cultures.

Citation Envoyé par stardeath Voir le message
l'absence de lien entre alerte et sécurité est aussi à prouver dans ce cas.
Non.
Tu ne comprends pas les démarches scientifiques.
Une corrélation n'est pas "vrai tant qu'on a pas prouvé qu'elle était fausse".
Si tu dois utiliser une corrélation, tu dois la prouver.

Demande à n'importe quelle personne manipulant des BDD immense comment ils font pour établir les corrélations.

Citation Envoyé par stardeath Voir le message
condition initiale différente => conclusion différente
Non, x = 0 n'est en aucun cas une condition initiale.
C'est une proposition que j'utilise sans la prouver pour te montrer le ridicule d'utiliser des corrélations non-prouvée dans un raisonnement et de demander aux détracteurs de prouver le contraire.
C'est bien à l'étude de démontrer que x = 0 pas à ses détracteurs de démontrer que x != 0.

Citation Envoyé par stardeath Voir le message
tu y tiens à ta démarche scientifique, d'ailleurs en parlant de scientifique, tu n'as pas démontré non plus qu'il y en avait jamais de corrélation entre les 2.
si tu déclenche une alerte quand quelque chose te semble bizarre, le doute seul te permet de dire qu'il y a potentiellement un élément déclencheur, tu n'as aucune preuve de la réalité de cette cause, mais le doute et le principe de précaution te font le signaler, on ne sait jamais.
tout comme le contraire, ce n'est qu'un doute, pas de quoi s'inquiéter ... mais lequel des 2 est le bon comportement?
Tu mélanges tout. Le principe de précaution n'a rien à voir avec le fait de prouver si une proposition est vrai ou est fausse. Mais dès qu'un risque existe, et si la corrélation n'est ni confirmée, ni infirmée, le principe de précaution fera qu'on considérera la chose comme "dangereuse" mais la corrélation ne sera toujours ni prouvée, ni infirmée.

Ensuite, ce n'est pas à moi de prouver l'absence de corrélation entre les deux éléments mais à l'étude de prouver la corrélation entre ces éléments. Si la corrélation n'est pas prouvée, le raisonnement ne tient pas.

Ensuite, je n'ai pas besoin de prouver l'absence de corrélation, juste à trouver un argument soulignant que la corrélation n'est pas évidente ce qui a déjà été faite.

Citation Envoyé par stardeath Voir le message
mais puisque je sens que tu y tiens, je vais répondre, à quoi annoncer une conso cpu de 10% moindre si finalement tout le monde s'en fout, tout comme l'espace entre les bandes blanches.
Je te montre des exemples pour te faire comprendre le ridicule de ton raisonnement.

Citation Envoyé par stardeath Voir le message
à quoi ça sert d'avancer ce nombre 10% si finalement on peut pas le critiquer sur la pertinence de l'avantage ou de l’inconvénient que cela amène?
Critiquer pour critiquer, ce n'est que du pinaillage ou du troll.
Critiquer un chargement de page qui va 50% plus rapidement parce que ces améliorations ne sont pas visible, c'est du troll. Cela peut être utile pour certains robots de recherches par exemple. Si tu ne trouve pas qu'une amélioration t'es utile, ce n'est pas pour autant qu'elle est inutile aux autres.
Ensuite, pour le CPU/GPU, on peut demander confirmation à des membres plus expérimenté que moi dans le domaine, mais je ne pense pas que déporter les calculs graphiques du CPU vers le GPU puisse avoir des inconvénients significatifs. Et le GPU est bien plus rapide que le CPU pour les calculs graphiques.

Citation Envoyé par stardeath Voir le message
pourquoi est ce que je ne pourrai pas critiquer ce nombre fantaisiste de 10% comme vous le faites avec cette étude de microsoft?
est ce que ça n'en fait que de la pub? à vous écoutez, oui. il n'y a jamais les conditions de l'expérience, c'est toujours une fourchette approximative d'un gain attendu, pas une expérience scientifique avec un protocole précis permettant de démontrer un gain identique à conditions initiales égales ou équivalentes.
Parce que ce chiffre de 10% n'intervient pas dans le cadre d'un communiqué d'étude (et n'a donc pas pour but de prouver quelque chose) mais d'être là à titre d'indicateur. Les lecteurs savent que ce chiffre va varier selon les ordinateurs mais il donne un ordre de grandeur.
Il ne prend donc pas nécessairement ses lecteurs pour des "naïf" alors qu'il annonce une hausse des performances comme tu l'affirmais.

Citation Envoyé par stardeath Voir le message
tout comme l'étude de microsoft, la seule chose que vous avez réussi à montrer c'est que ce n'est pas vrai parce que c'est microsoft, et que les 10% sont fiable parce que c'est google. CQFD
Non, on a prouvé que le raisonnement de microsoft est bancal est faux. Les 10% ne sont que de moi, et là cela ne joue plus sur un raisonnement mais sur une "confiance" en la source.
Si je poste à propos d'un de mes projets que j'utilise 10% de CPU en moins, on ne va pas aller me demander des justifications et je ne prend pas mes lecteurs pour des "naïfs".
Ensuite, on ne croit pas microsoft "parce que c'est microsoft" ? Ou n'est-ce pas plutôt que, à l'image de cette étude, microsoft perd tout crédit ?

Citation Envoyé par stardeath Voir le message
et le jour où il se fera avoir, il regrettera.
Donc tu es d'accord avec moi, il n'y a donc pas de sécurité supplémentaire.

Citation Envoyé par stardeath Voir le message
il y a 2 stratégies :
- on bloque un maximum, quitte à avoir des faux-positifs
- on essaie de bloquer un minimum les sites valides, quitte à laisser passer des trucs dangereux

les 2 stratégies ont des inconvénients :
- même si on bloque, des trucs dangereux peuvent toujours contourner
- on risque tout de même de bloquer des trucs valides

est ce qu'il y en a une de mieux que l'autre? pour moi non, par contre vu la politique des stores, leurs fréquentations et leurs critiques, je doute que les gens choisissent la deuxième.
C'est une question de proportion.
Mais il vaut mieux ne bloquer que 1% des menaces que d'avoir une technique qui aurait trop de faux-positifs rendant ainsi le dispositif inutile et ne bloquant au final 0% des menaces car l'utilisateur l'a désactivé ou l'ignore. Si je te montre un petit message à chaque action, combien de temps te faudra-t-il pour fermer ce message sans le lire complètement par habitude ?
1  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 28/06/2013 à 7:53
J'ai l'impression que vous vous embetez a troller sur les détails de comment valider une analyse alors que dès le premiers coup d'oeil on voit d'énormes faille dans les méthodes utilisées et pas besoin d'étudier en profondeur.

Citation Envoyé par stardeath
microsoft pourrait faire quelque chose de bien que de toute façon il s'en prendrait plein la tête, faut arrêter d'être effarouché par ce qui semble être un constat.
google dit clairement dans ces conditions que de toute façon il fait ce qu'il veut de vos données, ça n'empêche personne de continuer d'affirmer haut et fort que google est un saint.
Je dirais au contraire que la mode du troll contre Microsoft est passée. Google est aujourd’hui bien plus trollé que Microsoft

Citation Envoyé par stardeath
chez moi microsoft n'a pas perdu de sacro saint crédit, il m'a juste montrer qu'il y avait peut être un déficit coté firefox, ile ne me reste plus qu'à aller affirmer ou infirmer ma croyance ailleurs.
Si tu croyais que Firefox était parfait et que tu découvres qu'il peut comme les autres être victime de failles, ok.
Sinon vu que les chiffres fournis n'ont aucune valeur, rien ne dit qu'il n'y a pas autant voire plus de déficit sur IE que Firefox

Citation Envoyé par stardeath
ton projet? et alors, si tu en parles, c'est pas un peu pour faire de la pub?
d'autant plus que si tu dis qu'il y a une amélioration, ça n'empêchera personne de te demander comment tu as réussi à obtenir cette amélioration ni même comment tu l'as calculée.
Justement en l’occurrence la liste des sites testés est faite par une société payée par Microsoft, difficile dans ce cas là d'accorder un crédit. D'autant plus qu'il s'agit de bloquage de site malicieux dont la définition peut parfois être floue. Quand Mozilla communique sur les performances de leurs moteur Javascript, ils communiquent les résultats de leur benchmark maison(Kraken) mais aussi sur ceux des benchmarks de Apple(Sunspider) et Google(Octane), c'est bien moins contestable.

Quand au nombre de failles de sécurité, il est sans valeur car il ne prend en compte que les failles publiques, or pour Firefox et Chromium, tout le suivi de l'application est public, ce qui n'est pas le cas pour IE.
1  0