Jeff Jones, Directeur Stratégie Sécurité du groupe Trustworthy Computing chez Microsoft, a décidément un goût prononcé pour la polémique. En juin dernier, Jones publiait un rapport affirmant que Windows Vista était plus sécurisé que son prédécesseur XP et encore plus que Mac OS X et autres distributions Linux. La méthodologie de Jones n’avait cependant guère plu, d’aucuns prétextant que son champ d’étude couvrait une période peu significative de 6 mois. Peu importe, Jones jouait la provocation et sûr de son fait, mettait à l’épreuve quiconque de démontrer avec une même rigueur le contraire.

Oups, Jones did it again !

Dans le même esprit, Jones récidive avec une publication mettant en confrontation le navigateur Open Source de Mozilla, Firefox, et celui propriétaire de Microsoft, Internet Explorer, pour une conclusion similaire via l’appui de données collectées depuis trois ans.

Dans son nouveau rapport, Jones explique que Mozilla a corrigé 199 vulnérabilités de sécurité depuis le lancement de Firefox 1.0 en novembre 2004, parmi lesquelles 75 relatives à des problèmes critiques, 100 vulnérabilités à la dangerosité qualifiée de moyenne et enfin 24 de faible importance. Au cours de la même période, ce total a atteint 87 pour Internet Explorer dont 54 vulnérabilités critiques, 28 moyennes et 5 de faible importance.

Plus que ces simples données brutes, notre expert en sécurité informatique ne manque pas de souligner qu’actuellement les mises à jour de sécurité de Mozilla ne s’adressent plus exclusivement qu’à Firefox 2.0. Et pour cause, le support de la branche 1.5 a pris fin. Jeff Jones critique ainsi la politique de Mozilla en la matière avec un support d’une durée moyenne de 6 mois pour une ancienne version suite à la sortie de son successeur, et d’observer que si Microsoft avait agi de même, celui de IE6 aurait connu son terme en mai 2007.

Jones ne fait toutefois pas que distribuer des mauvais points à Mozilla et reconnaît que la sécurité s’est grandement améliorée dans les dernières versions d’Internet Explorer mais aussi de Firefox. Selon lui, l’arrivée de Window Snyder en tant que chef de la sécurité pour Mozilla Corp. y a fortement contribué. Il faut dire que Jones aurait du mal à critiquer Snyder, elle qui a participé à la finalisation du Service Pack 2 de Windows XP et Windows Server 2003 avant de  » passer chez l’ennemi « . Se faisant, pour Jones, l’idée reçue selon laquelle Internet Explorer est affecté par plus de vulnérabilités que Firefox ne tient plus, et le fureteur au panda rouge n’est pas plus sûr que IE.

Il va s’en dire que la communauté Mozilla ne partage pas du tout cette analyse qualifiée de vide de sens. Mike Schroepfer, vice-président de Mozilla Corp., indique par exemple que bien plus qu’un décompte de bugs, ce qui est vraiment important est de savoir s’ils constituent un risque réel pour l’utilisateur. Par ailleurs, il n’omet pas de rappeler l’affaire rocambolesque de la faille dite de l’URI, pour laquelle un discrédit avait été jeté sur Firefox alors que le coupable était Internet Explorer 7, et il aura fallu trois mois à Microsoft pour l’admettre.

D’autres tenants de Firefox mettent en avant la transparence de Mozilla qui communique ouvertement sur les vulnérabilités identifiées contrairement à Microsoft. Forcément, cela a une influence sur le décompte final. Mais bien plus encore, la réactivité de la communauté a fait ses preuves avec en outre un système de mise à jour automatique réactif et efficace afin de permettre l’application rapide des correctifs conçus. Face à cela, Microsoft ne peut objecter qu’un cycle de correction éventuellement mensuel, pas toujours suivi par les utilisateurs.