Beaucoup de vulnérabilités Chrome n’équivalent pas à ce que le navigateur de Google ne soit pas sécurisé, tout à fait le … [+]
SOPA Images/LightRocket via Getty ImagesIl existe de nombreuses raisons pour lesquelles vous pourriez envisager de passer à un autre navigateur que Google Chrome. Mais le nombre de vulnérabilités de sécurité n’en est pas un. Voici pourquoi.
La princesse de la sécurité de Google s’exprime sur les rapports de comptage CVE « confus »
Parisa Tabriz a trois professions éponymes: princesse de la sécurité chez Google, Project Zero « den mom » et le patron du navigateur chez Google Chrome. Tabriz, plus formellement, directeur de l’ingénierie chez Google, connaît une chose ou deux sur les vulnérabilités de Chrome, comme vous pouvez l’imaginer.
C’est pourquoi je n’ai pas du tout été surpris de lire le court fil de discussion sur Twitter de la princesse de la sécurité qui dénonçait la « confusion » concernant ce que signifie réellement le nombre de vulnérabilités. La confusion particulière concerne certains des rapports qui semblent corréler le nombre de vulnérabilités divulguées avec un produit non sécurisé.
Ce fil de discussion sur Twitter faisait référence à « des recherches moins que sophistiquées » sur la sécurité de Chrome qui ont été publiées cette semaine. Le rapport a déclaré que « le navigateur le plus populaire au monde, Google Chrome, présente également les vulnérabilités les plus signalées, avec 303 vulnérabilités découvertes depuis le début de l’année ». Ceci est basé sur les derniers chiffres qui se trouvent dans le Base de données de vulnérabilité VulnDB. Le rapport a également couvert le nombre de vulnérabilités pour les navigateurs concurrents.
Un nombre élevé de rapports de vulnérabilité équivaut-il à un produit non sécurisé ?
Pour l’instant ça va. Cependant, il suffit d’un peu de recherche pour trouver une myriade de publications affirmant que Chrome est le plus vulnérable des navigateurs ou similaires. Pour quiconque a une scintille de sécurité, assimiler le nombre de vulnérabilités divulguées et corrigées à être « plus vulnérable » qu’un produit avec moins est, franchement, un non-sens. Je dois souligner à ce stade que ni le rapport original ni la base de données sur les vulnérabilités sur laquelle il était basé ne faisaient cette hypothèse erronée.
Revenons donc au patron du navigateur de Google. « Certains journalistes semblent, malheureusement, confus quant à ce que CVE * compte * signifie réellement. La réponse : pas grand-chose. Les CVE sont le système Common Vulnerabilities and Exposures par lequel les vulnérabilités sont référencées et évaluées en fonction de leur gravité.
L’argument de Tabriz était qu’un certain nombre de reportages dans les médias suggéraient qu’un navigateur présentant plus de vulnérabilités que ses concurrents était donc moins sûr, même lorsque beaucoup de ces concurrents étaient construits autour du même moteur de chrome.
Google a certains des meilleurs spécialistes de la sécurité dans l’entreprise
Je dois être d’accord avec la princesse de la sécurité, tout l’argument est vraiment bizarre. Consultez mon rapport, également publié aujourd’hui, qui examine une série documentaire vidéo de Google fournir des informations sur les équipes de sécurité internes là-bas. Google a des gens de la sécurité vraiment incroyables, parmi les meilleurs du secteur, pourrait-on dire, et le fait que des vulnérabilités soient trouvées et corrigées renforce cette croyance. De nombreuses vulnérabilités sont trouvées par ces équipes internes, d’autres par des pirates informatiques qui font partie de l’ Plateforme Google Bug Hunters. Avec plus de 35 000 000 $ versés en primes d’insectes à 2640 chasseurs de bugs, il serait difficile de soutenir que le système ne fonctionne pas.
« Plus de bogues corrigés d’année en année est une bonne chose », dit Tabriz, « des bogues existent dans chaque logiciel, donc si vous pensez que moins de corrections de bogues équivaut à plus de sécurité, beaucoup de gens de mon équipe aimeraient avoir un mot. »
Comme le dit mon collègue de Forbes, Gordon Kelly : «ne laissez pas les chiffres vous effrayer. »
