Dans un rapport fouillé de 102 pages, la firme de sécurité compare la capacité des navigateurs à atténuer les exploits, détecter les liens malicieux et autres critères de sécurité entre les occupants du Top 3 des navigateurs (93 % au total des parts de marché).
Chrome s'en sort sans surprise fort bien, suivi de près par Microsoft Internet Explorer. À la traîne, le navigateur open source Firefox arrive troisième, faisant essentiellement les frais de sa non-implémentation de protection par Sandbox (bac à sable). Un critère qui devient un standard de cette industrie, mais ne convainc pas la fondation Mozilla en tant que tel.
L'étude a été commanditée par Google, mais ses six auteurs se défendent de toute partialité. Ils revendiquent une autonomie totale sur le choix des critères utilisés et fournissent en plus de l'étude, 20 Mo de données brutes et outils permettant à quiconque d'apprécier leur méthodologie.
Les versions des navigateurs testées étaient :
- Google Chrome versions 12 (12.0.724.122) et 13 (13.0.782.218)
- Internet Explorer 9 (9.0.8112.16421)
- Firefox 5 (5.0.1)
L'étude suit une approche quantitative par couche, comparant les navigateurs en tenant compte de l'architecture de sécurité et des techniques anti-exploits. « Cette méthodologie requiert une plus profonde expertise technique que l'analyse statistique des vulnérabilités, et ouvre aussi une perspective plus précise sur la sécurité de chaque navigateur », estiment les chercheurs.
Les chercheurs ont analysé la capacité d'un code malicieux à lire/écrire des fichiers, et exécuter 13 autres actions systèmes. Chrome réussit à les bloquer toutes, à l’exception d’une seule action, et d’une autre bloquée partiellement. Internet Explorer n'arrive à stopper entièrement que deux actions alors que Firefox n'en résiste complètement à aucune.
Firefox s'incline et Chrome brille aussi en matière de compilation juste à temps JIT Hardening (une technique de compilation JavaScript imprédictible pour compliquer la tâche des pirates). Chrome se distingue aussi en matière de sécurisation des plug-ins bordés par des limitations strictes, contrairement aux deux autres navigateurs, notamment Internet Explorer chez lequel les extensions jouissent de privilèges énormes pouvant aller jusqu'à la création de processus.
Bien qu'ils les passent aussi en revue, les auteurs de cette étude estiment que certains critères habituellement avancés manquent de fiabilité. C'est le cas par exemple, d'après Accuvant, du nombre de vulnérabilités corrigées ou la rapidité de leur correction.
« Alors nous avons décidé : concentrons-nous sur la technologie d'atténuation des exploits pour montrer comment ils résistent aux attaquants au moment où ces derniers découvrent une vulnérabilité », expliquent les chercheurs.
Consulter le rapport de l'étude (format PDF)
Source : Accuvant
Et vous ?
Que pensez-vous de cette étude ? Et de sa méthodologie ?
Quel est d'après-vous le navigateur le plus sécurisé ?