La position du Cert-IST sur l'état de vulnérabilité des navigateurs Web (sept. 2005)

Date : 03 Octobre 2005

A l'occasion de la publication d'une analyse de la société Symantec, le magazine ZDNet.fr a rappelé dans un article du 20 Sept. 2005, la position exprimée par le Cert-IST le 02 décembre 2004 sur l'état des vulnérabilités en cours des navigateurs Internet : 
"…le Cert-IST en France, encourage(aient leurs) clients à utiliser Firefox plutôt que le navigateur de Microsoft pour assurer la sécurité de leurs réseaux…"

Presqu'un an après notre prise de parole initiale, nous faisons donc un point sur l'état de vulnérabilité des navigateurs web "Internet Explorer" et "Firefox".

Rappel de notre position de juin 2004 et décembre 2004

A l'origine, dans un communiqué de Presse de juin 2004, (et suite à une recommandation analogue de l'US-Cert) le Cert-IST avait dit :

"…Cependant le Cert-IST invite les Responsables de la Sécurité du Système d’Information des Entreprises Françaises à effectuer une analyse de risque sur les postes de travail dont ils ont la charge, et à s’interroger sur l’utilisation, pour la navigation sur le Web, d’Internet Explorer sur les PC dits sensibles. Sans rentrer dans la querelle logiciel libre vs Microsoft, et en prenant acte de la nécessité d’installer Internet Explorer pour accéder aux applications d’entreprise telles que SAP, l’utilisation temporaire d’un autre navigateur qui cohabite parfaitement avec IE sur le même poste peut être un palliatif à la situation actuelle tant que Microsoft n’aura pas publié l’ensemble des correctifs attendus…"

Entre cette première communication et décembre 2004, plusieurs nouvelles menaces sérieuses concernant IE sont apparues (on citera par exemple la vulnérabilité "IFRAME" décrite dans l'avis AV-2004.339), et le Cert-IST émet en novembre 2004 une nouvelle mise en garde sous forme de Danger Potentiel (DG-2004.010) interne à la communauté du Cert-IST :

"…Face à cette menace, nous réitérons donc nos recommandations :

  • les utilisateurs d'Internet Explorer doivent impérativement prendre des mesures pour diminuer le risque (voir les mesures palliatives proposées dans l'avis CERT-IST/AV-2004.339 : Désactiver les comportements dynamiques dans "Internet Explorer", comme les contrôles ActiveX, et les scripts JavaScripts)
  • il est fortement recommandé, dans l'attente de la publication de correctifs Microsoft, d'utiliser un autre navigateur pour la navigation web…"


Position actuelle

Notre position actuelle est qu'en moins d'un an l'état de vulnérabilité des navigateurs s'est rééquilibré. En effet, l'analyse factuelle de la base de connaissance maintenue par le Cert-IST (qui recense en particulier les vulnérabilités) montre un rééquilibrage statistique.

Nota : La base de connaissance du Cert-IST donne des chiffres moins importants que ceux cités dans l'article de ZDNet, car des vulnérabilités multiples corrigées le même jour et n'ayant pas entre-temps fait l'objet d'exploitation dangereuse sont considérées statistiquement comme une unique menace, en particulier lorsque certaines avaient un impact potentiel marginal.


ATT (sept.05)

Avis

Dangers

Alertes

Menaces (Blog)

Firefox 1

3

8

0

0

1

Internet Explorer 2

3

8

3

0

4(3)

(1) Depuis la parution de Firefox 1.0 et sa prise en compte dans la base de connaissance.

(2) Depuis décembre 2004 (Avis CERT-IST/AV-2004.405).

(3) Il est à noter, que le Hub de gestion de crise (nouvel outil ayant fait son apparition au cours de l'été 2005) ne participe pas pleinement à la statistique sur 2004. L'émission d'un Danger Potentiel (DG) donne quasi systématiquement lieu au suivi de la menace dans le Hub, et donc rétrospectivement, Internet Explorer aurait activé jusqu'à quatre fois un suivi par le hub de Crise du Cert-IST, contre une seule fois pour Firefox.

On le voit dans ce tableau : si les deux navigateurs sont très proches en terme de failles non corrigées (colonne "ATT") ou corrigées (colonne "Avis"), il n'en est pas de même si l'on analyse la "dangerosité" des attaques rencontrées sur le terrain pour ces deux navigateurs. On voit en effet que 3 "Dangers Potentiels" (pré-alerte) ont été émis pour IE, alors qu'aucun n'a été émis pour Firefox. Nous ne pouvons donc pas souscrire à l'analyse ZDNet selon laquelle "le volume et la dangerosité des alertes relevées sur Firefox seraient supérieurs à ce qui est relevé sur IE". L'analyse de l'exploitation réelle des failles en défaveur de IE est d'ailleurs partagée par d'autres sources, et citée par Symantec (dans la version anglaise de l'article de ZDNet).

Quant à savoir s'il n'est plus aujourd'hui possible de préférer Firefox à Internet Explorer sur le seul terrain de la sécurité, le Cert-IST persiste à recommander aux Responsables de la Sécurité du Système d’Information des Entreprises Françaises de sa communauté d'effectuer une analyse de risque sur les postes de travail dont ils ont la charge, et de s’interroger sur l’utilisation, pour la navigation sur le Web, d’Internet Explorer (pour l'instant plus exposé aux attaques) sur les PC dits sensibles.

Il nous apparaît que cette décision devrait alors être accompagnée de mesures de durcissement de ce poste de travail (désactivation ActiveX, Java et Javascript, entre autres), ou au minimum que ce durcissement soit activé pendant les périodes de risque accru liées à l'existence d'une faille momentanément sans correctif. Dans ce second mode de fonctionnement, les défenses sont donc activées en suivant les "menaces en cours" analysées dans le Hub de gestion de crise du Cert-IST.

Le Hub de gestion de crise est aujourd'hui utilisé par le Cert-IST pour rendre compte de l'évolution en temps réel du risque associé à une vulnérabilité, et permet d'attirer l'attention sur des périodes transitoires durant lesquelles une menace est maximale car la faille est connue, facilement exploitable, mais toujours en attente d'un correctif de l'éditeur.

Liens

Précedent Précedent Suivant Suivant Imprimer Imprimer