La décision de Google de mettre à jour silencieusement le navigateur Chrome – à l'insu ou sans le consentement de l'utilisateur – a placé l'entreprise en tête du peloton en matière de sécurisation des navigateurs Web modernes. C'est le principal point à retenir d'une nouvelle étude qui affirme que les mises à jour silencieuses constituent le moyen le plus efficace d'assurer la distribution la plus large possible des correctifs de sécurité.
C'est le principal point à retenir d'une nouvelle étude qui affirme que les mises à jour silencieuses constituent le moyen le plus efficace d'assurer la distribution la plus large possible des correctifs de sécurité. L'étude, menée conjointement par Google Suisse et l'École polytechnique fédérale de Suisse, a révélé que les mises à jour automatiques fournies avec Chrome et Firefox de Mozilla fonctionnait mieux pour fournir des correctifs, tandis que le mécanisme de distribution utilisé par Microsoft, Opera et Apple laissait beaucoup à désirer. voulu.
Pendant des années, les praticiens de la sécurité avoir argumenté contre correctif silencieux, avertissant que les utilisateurs finaux doivent savoir – et accepter – ce qui est modifié sur la machine mais, selon cette dernière étude, les mises à jour silencieuses dans les navigateurs améliorent la sécurité:
Avec les mises à jour silencieuses, l'utilisateur n'a pas à se soucier des mises à jour et de la maintenance du système et le système reste le plus sécurisé à tout moment. Nous pensons qu'il s'agit d'une valeur par défaut raisonnable pour la plupart des utilisateurs Internet. De plus, les mises à jour silencieuses sont déjà bien acceptées pour les applications Web Internet.
...Nos mesures prouvent que les mises à jour silencieuses et une faible dépendance au système d'exploitation sous-jacent sont les moyens les plus efficaces pour inciter les utilisateurs de navigateurs Web à surfer sur le Web avec la dernière version du navigateur. Cependant, comme nous l’avons constaté, il y a encore place à l’amélioration. Le mécanisme de mise à jour silencieuse avantageux de Google Chrome est devenu open source en avril 2009. Nous recommandons à tout éditeur de logiciels d'envisager sérieusement de déployer des mises à jour silencieuses, car cela profite à la fois au le fournisseur et l'utilisateur, en particulier pour les applications largement utilisées et exposées aux attaques, telles que les navigateurs Web et les navigateurs des plug-ins.
[ VOIR: Des squelettes dans le placard du Patch Day de Microsoft ]
Le rapport a attiré l'attention sur la faiblesse du mécanisme de publication/mise à jour des correctifs d'Opera:
Les utilisateurs du navigateur Opera ne mettent apparemment pas à jour fréquemment. Après trois semaines d'une nouvelle version, un maximum décevant de 24 % d'utilisateurs quotidiens actifs d'Opera 9.x ont installé le dernier navigateur Opera. Il est dommage que 76% des utilisateurs d'Opera 9.x ne bénéficient actuellement pas des améliorations de sécurité et des nouvelles fonctionnalités des nouvelles versions d'Opera dans les trois semaines suivant leur sortie. Si du temps d’ingénierie était consacré à accroître l’efficacité des mises à jour au lieu de travailler sur de nouvelles fonctionnalités, cela profiterait à terme à beaucoup plus d’utilisateurs. Nous reconnaissons également une valeur aberrante, à savoir Opera 9.61, qui a été remplacé neuf jours après sa sortie. .
Safari d'Apple s'en sort également mal:
Seulement 53 % au maximum des utilisateurs du navigateur Web Apple Safari 3.x bénéficient d'une mise à jour dans les trois semaines suivant sa sortie. Avec les versions plus récentes des versions Apple Safari 3.2.x, l'efficacité de la mise à jour diminue considérablement. La raison en est qu'Apple a placé la barre plus haut quant aux personnes éligibles aux mises à jour d'Apple Safari 3.2.x en exigeant Mac OS X Tiger 10.4.11 ou supérieur ou Mac OS X Leopard 10.5.5 ou supérieur avec la mise à jour de sécurité 2008-007 installée. Étant donné qu'Apple Safari 3.2.1 n'atteint que 33 % le 21e jour après sa sortie, cela représente 20 % supplémentaires d'utilisateurs d'Apple Safari 3.x qui ont été laissés pour compte depuis la sortie d'Apple Safari 3.2.x.
"Dans l'ensemble, la faible efficacité des mises à jour d'Apple Safari et Opera donne aux attaquants suffisamment de temps pour utiliser des exploits connus pour attaquer les utilisateurs de navigateurs obsolètes", préviennent les chercheurs.
Les chercheurs n'ont pas pu suivre la mise à jour du navigateur Internet Explorer car Microsoft ne signale que le numéro de version majeure et omet le numéro de version mineure dans la chaîne de l'agent utilisateur.
Cependant, l’étude appelle Microsoft à repenser son cycle de publication du Patch Tuesday pour les mises à jour d’Internet Explorer:
Un calendrier de correctifs fixe profite principalement aux processus de gestion des correctifs des grandes entreprises - organisations qui sont généralement mieux protégées contre les menaces Internet que la masse des utilisateurs individuels. Sur la base de nos mesures et de l'évolution des menaces envers les utilisateurs finaux, nous suggérons aux éditeurs de logiciels de publier des correctifs pour les attaques exposées. applications, telles que les navigateurs Web et les plug-ins, dès qu'ils sont disponibles - tout en respectant un calendrier de correctifs pour moins d'attaques exposées applications. Nous pensons qu’il est possible de faire un meilleur compromis au profit de la sécurité globale.
A LIRE AUSSI :
- Trifecta Pwn2Own: un pirate informatique exploite IE8, Firefox et Safari
- IE vs Firefox: Microsoft analyse les chiffres de sécurité
- Étude: Firefox remporte la course au délai de mise à jour des navigateurs