Internet Explorer 10 moins vulnérable que ses concurrents
Microsoft détaille les fonctions de sécurité du navigateur
Le 2013-06-24 11:28:09, par Hinault Romaric, Responsable .NET
Le mois dernier, une étude du cabinet NSS Labs a montré qu’Internet Explorer 10 était plus sûr que n’importe lequel de ses concurrents, en ce qui concerne la protection des utilisateurs contre les téléchargements dangereux.
L’analyse, portant essentiellement sur la fonction SmartScreen du navigateur, a permis de constater qu’IE 10 sous Windows 8 était capable de bloquer près de 99,96 % des téléchargements de programmes malveillants.
Le navigateur dispose cependant de plusieurs autres évolutions dans le domaine de la sécurité qui n’ont pas été évaluées. Dans un récent billet de blog, Microsoft présente un peu plus en détails les fonctionnalités de sécurité qui ont été intégrées au navigateur.
Pour protéger les utilisateurs contre les attaques, Internet Explorer utilise une fonction de filtrage d’URL baptisée SmartScreen, combinée avec une méthode d’analyse de réputation des applications et un filtre XSS qui empêche automatiquement certains types d’attaques.
En plus d’être meilleur dans le blocage des logiciels malicieux, Internet Explorer 10 disposerait également de moins de vulnérabilités que les autres navigateurs. Ceci notamment grâce aux mises à jour automatiques, des fonctions de protection mémoire qui rendent difficile l’exploitation de certains types de vulnérabilités et l’ajout d’une nouvelle couche Enhanced Protected Mode.
Microsoft cite par exemple les rapports d’analyse « Secunia Vulnerability Review 2013 » et « Symantec's 2013 Internet Security Threat Report » qui montrent qu’Internet Explorer 10 a beaucoup moins de failles de sécurité que ses concurrents sur Windows.
L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.
Source : Microsoft
Et vous ?
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
L’analyse, portant essentiellement sur la fonction SmartScreen du navigateur, a permis de constater qu’IE 10 sous Windows 8 était capable de bloquer près de 99,96 % des téléchargements de programmes malveillants.
Le navigateur dispose cependant de plusieurs autres évolutions dans le domaine de la sécurité qui n’ont pas été évaluées. Dans un récent billet de blog, Microsoft présente un peu plus en détails les fonctionnalités de sécurité qui ont été intégrées au navigateur.
Pour protéger les utilisateurs contre les attaques, Internet Explorer utilise une fonction de filtrage d’URL baptisée SmartScreen, combinée avec une méthode d’analyse de réputation des applications et un filtre XSS qui empêche automatiquement certains types d’attaques.
En plus d’être meilleur dans le blocage des logiciels malicieux, Internet Explorer 10 disposerait également de moins de vulnérabilités que les autres navigateurs. Ceci notamment grâce aux mises à jour automatiques, des fonctions de protection mémoire qui rendent difficile l’exploitation de certains types de vulnérabilités et l’ajout d’une nouvelle couche Enhanced Protected Mode.
Microsoft cite par exemple les rapports d’analyse « Secunia Vulnerability Review 2013 » et « Symantec's 2013 Internet Security Threat Report » qui montrent qu’Internet Explorer 10 a beaucoup moins de failles de sécurité que ses concurrents sur Windows.
L’étude de Secunia, par exemple, révèle que le navigateur de Microsoft n’a eu que 10 alertes de sécurité et 41 vulnérabilités contre 28 alertes pour Chrome et 291 vulnérabilités. Firefox pour sa part a enregistré 21 alertes et 257 vulnérabilités.
Source : Microsoft
Et vous ?
-
UtherExpert éminent séniorQue developpez.com nous fait malheureusement encore passer de la publicité au minimum trompeuse, sinon mensongère, pour une news.
Tout d'abord, ces chiffres ne sont juste pas comparables vu que Firefox et Chromium sont open-source avec un suivi de projet ouvert au public, Toute les corrections de sécurité sont visibles pour tous. Le développement de IE est fermé, en général, seules les failles de sécurités révélées au public sont connues.
De plus, même si IE avait un développement ouvert, on peux difficilement comparer les failles de sécurité de manière uniquement quantitative. Les problème de sécurité ont des niveaux de risque et des délais de correction variable.
Enfin, comme dit plus haut, ça n'est que la liste des failles annoncées et donc corrigées. Ça peux aussi bien vouloir dire que Microsoft a beaucoup mois cherché de failles que Mozilla et Google et que par conséquent il est plus vulnérable.le 24/06/2013 à 16:38 -
NeckaraInactifFaux, cette étude ne montre en aucun cas cela ( il manque des données pour établir de vraie conclusion, cf ma réponse dans ce sujet ).
Ces chiffres ne donnent en aucun cas un indicateur de sécurité des logiciels, en effet, le fait d'avoir plus d'alertes signifie simplement que plus de failles ont été trouvée (et donc seront corrigée) pas que l'application possède plus de failles. Sinon ces alertes sont comptée comment ? Sur quelle durée ?? (La même durée pour chaque navigateur ?)
Pourquoi n'a-t-on pas les versions des navigateurs testés ?
La source nous fait douter quant à l'objectivité de ces études
Pour la sécurité, je ne peux rien dire vu qu'on a aucun élément concret à se mettre sous la dent. Quant à ces études, je ne suis pas vraiment allé creuser les sources pour voir si certains éléments ont été "oublié", etc. Mais tel que présenté ici, ce n'est que de la publicité maquillée pour internet explorer 10
Il ne me semble pas que IE10 soit disponible sur Ubuntu, je ne me pose donc même pas la questionle 24/06/2013 à 11:46 -
Que pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Je pense que je n'ai plus confiance en IE donc ils peuvent dire qu'il est meilleur, malheureusement je ne les crois pas.
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?
Juste pour tester mes sites, et le plus souvent je m'énerve contre ce navigateur !!!le 24/06/2013 à 11:32 -
arnolddumasRédacteur/ModérateurUne étude de Microsoft ventant un produit Microsoft.
Non et non. Le naviguateur ne propose rien d'innovant par rapport à la concurrence.le 24/06/2013 à 12:22 -
Mr_ExalMembre expertQue pensez-vous de la sécurité d'Internet Explorer 10 ? Et de ces études ?
Utilisez-vous Internet Explorer 10 ou envisagez-vous de migrer sur le navigateur ?le 24/06/2013 à 12:49 -
tontonnuxMembre expérimentéA quand des pubs Microsoft non maquillées en news sur DVP ?
Sérieusement, ça fait combien de fois que vous nous demandez si on pense migrer sur IE10 ?le 25/06/2013 à 8:51 -
elias551Membre du ClubIE bloque par défaut beaucoup de sites même s'ils ne sont pas malveillants, ca lui donne un avantage niveau sécurité.
Je pense que chrome + notScripts ou FF + noscript sont loin devant niveau sécurité, même si niveau confort de navigation c'est beaucoup plus... ennuyant.le 24/06/2013 à 12:44 -
NeckaraInactifLà n'est pas la question.
Que ie ai évolué pourquoi pas, que ie soit "supérieur" aux autres navigateurs, admettons.
Mais toujours est-il que ces chiffres ne signifient rien et n'ont aucune valeur sans compter les conclusions hâtives et injustifiables par ces chiffres.
Pour que ces chiffres aient une quelconque valeur, il faut avoir un minimum d'informations sur les conditions des expériences. Sans compter que parfois des chiffres complémentaires sont nécessaires (cf ma réponse dans le sujet http://www.developpez.com/actu/55427/ ).
On peut faire dire tout et n'importe quoi aux chiffres, c'est trop facile de jouer à ce jeu là.
J'ai une application A sortie en 1900 qui a eu 200 alertes de sécurité depuis sa sortie. A côté j'ai une application B sortie en 2012 qui a eu 40 alertes de sécurité.
200 alertes contre 40 alertes, l'application B serait-elle plus sûre ?
D'ailleurs, en quoi le nombre d'alertes est un indicateur de sécurité ?
Mon navigateur nommé TheSuperWebBroswerOfTheGeniusNeckara demande à chaque page une confirmation/montre une alerte et a alors un taux de blocage de... 100% (quelle sécurité !). Mais voilà, les utilisateurs ont désactivés ces messages ou ne les regardent plus, au final, aucune efficacité (cf paradoxe des faux-positifs).
Ces chiffres sont trop facilement contestables (et on ne va pas chercher bien loin pourtant). Tel que présenté ici, ce ne sont pas des études, mais de la publicité.le 25/06/2013 à 21:30 -
NeckaraInactifLe fait même que le paradoxe des faux-positif existe invalide le raisonnement car on a alors un contre-exemple. Les données ne sont alors pas exploitables sans données complémentaires.
Ne pas la prendre en considération, c'est envoyer des milliers d'innocents en prison pour un assassin sous prétexte que la méthode trouve 80% des assassins et ne donne que 1% de faux positifs sur la population globale ( mais 99,9% des alertes sont des faux-positifs car les assassins représentent X% de la population globale).
De même pour le navigateur, si un blocage à 99% de chances d'être un faux-positif, il sera alors très vite ignoré ou désactivé par les utilisateurs par habitude le rendant totalement inefficace.
C'est du niveau lycéen de faire de telles études :
- tu prends des boîtes de pétri identique ;
- tu met une culture de bactérie dedans (même quantité pour chaque boîte) ;
- tu prend le même sel que tu verse à des quantité différente sur les boîtes de pétri sauf sur une boîte (boîte témoin) ainsi qu'une autre où tu met des petites billes de plastiques (boîte témoin 2) ;
- tu les met dans un placard prévu à cet effet (protégé de la lumière directe du soleil, environnement "neutre", etc. ) ;
- tu renseigne toutes les conditions de l'expérience (durée, sel utilisé, type de culture, les boîtes de pétri utilisé, température moyenne (?), manipulations effectuées, etc. ) ;
- tu regardes régulièrement au fil des jours l’évolution de tes cultures ;
- tu prends des photo régulières des boîtes ;
- tu regarde si le sel a un effet apparent quant au développement de tes cultures.
Non.
Tu ne comprends pas les démarches scientifiques.
Une corrélation n'est pas "vrai tant qu'on a pas prouvé qu'elle était fausse".
Si tu dois utiliser une corrélation, tu dois la prouver.
Demande à n'importe quelle personne manipulant des BDD immense comment ils font pour établir les corrélations.
Non, x = 0 n'est en aucun cas une condition initiale.
C'est une proposition que j'utilise sans la prouver pour te montrer le ridicule d'utiliser des corrélations non-prouvée dans un raisonnement et de demander aux détracteurs de prouver le contraire.
C'est bien à l'étude de démontrer que x = 0 pas à ses détracteurs de démontrer que x != 0.
Tu mélanges tout. Le principe de précaution n'a rien à voir avec le fait de prouver si une proposition est vrai ou est fausse. Mais dès qu'un risque existe, et si la corrélation n'est ni confirmée, ni infirmée, le principe de précaution fera qu'on considérera la chose comme "dangereuse" mais la corrélation ne sera toujours ni prouvée, ni infirmée.
Ensuite, ce n'est pas à moi de prouver l'absence de corrélation entre les deux éléments mais à l'étude de prouver la corrélation entre ces éléments. Si la corrélation n'est pas prouvée, le raisonnement ne tient pas.
Ensuite, je n'ai pas besoin de prouver l'absence de corrélation, juste à trouver un argument soulignant que la corrélation n'est pas évidente ce qui a déjà été faite.
Je te montre des exemples pour te faire comprendre le ridicule de ton raisonnement.
Critiquer pour critiquer, ce n'est que du pinaillage ou du troll.
Critiquer un chargement de page qui va 50% plus rapidement parce que ces améliorations ne sont pas visible, c'est du troll. Cela peut être utile pour certains robots de recherches par exemple. Si tu ne trouve pas qu'une amélioration t'es utile, ce n'est pas pour autant qu'elle est inutile aux autres.
Ensuite, pour le CPU/GPU, on peut demander confirmation à des membres plus expérimenté que moi dans le domaine, mais je ne pense pas que déporter les calculs graphiques du CPU vers le GPU puisse avoir des inconvénients significatifs. Et le GPU est bien plus rapide que le CPU pour les calculs graphiques.
Parce que ce chiffre de 10% n'intervient pas dans le cadre d'un communiqué d'étude (et n'a donc pas pour but de prouver quelque chose) mais d'être là à titre d'indicateur. Les lecteurs savent que ce chiffre va varier selon les ordinateurs mais il donne un ordre de grandeur.
Il ne prend donc pas nécessairement ses lecteurs pour des "naïf" alors qu'il annonce une hausse des performances comme tu l'affirmais.
Non, on a prouvé que le raisonnement de microsoft est bancal est faux. Les 10% ne sont que de moi, et là cela ne joue plus sur un raisonnement mais sur une "confiance" en la source.
Si je poste à propos d'un de mes projets que j'utilise 10% de CPU en moins, on ne va pas aller me demander des justifications et je ne prend pas mes lecteurs pour des "naïfs".
Ensuite, on ne croit pas microsoft "parce que c'est microsoft" ? Ou n'est-ce pas plutôt que, à l'image de cette étude, microsoft perd tout crédit ?
Donc tu es d'accord avec moi, il n'y a donc pas de sécurité supplémentaire.
C'est une question de proportion.
Mais il vaut mieux ne bloquer que 1% des menaces que d'avoir une technique qui aurait trop de faux-positifs rendant ainsi le dispositif inutile et ne bloquant au final 0% des menaces car l'utilisateur l'a désactivé ou l'ignore. Si je te montre un petit message à chaque action, combien de temps te faudra-t-il pour fermer ce message sans le lire complètement par habitude ?le 27/06/2013 à 11:43 -
UtherExpert éminent séniorJ'ai l'impression que vous vous embetez a troller sur les détails de comment valider une analyse alors que dès le premiers coup d'oeil on voit d'énormes faille dans les méthodes utilisées et pas besoin d'étudier en profondeur.
Envoyé par stardeath Envoyé par stardeath
Sinon vu que les chiffres fournis n'ont aucune valeur, rien ne dit qu'il n'y a pas autant voire plus de déficit sur IE que FirefoxEnvoyé par stardeath
Quand au nombre de failles de sécurité, il est sans valeur car il ne prend en compte que les failles publiques, or pour Firefox et Chromium, tout le suivi de l'application est public, ce qui n'est pas le cas pour IE.le 28/06/2013 à 7:53