Web

Safari, le navigateur d’Apple dévoile d’importantes failles de sécurité

Google Project Zero propose les résultats d’une étude sur la sécurité des différents navigateurs Internet. Safari d’Apple se classe en dernière position avant beaucoup plus de failles que ses concurrents.

Les chercheurs en sécurité de Google Project Zero publient les résultats d’une analyse de sécurité des grands navigateurs Internet du marché. Nous retrouvons naturellement Chrome, Firefox, Internet Explorer, Microsoft Edge et Safari. Chaque solution a subi des millions de tests de pénétration pour tenter de dénicher des failles de sécurité.

L’opération a été automatisée à l’aide d’une plateforme spécifique nommée « Domato ». Sa fonction est de générer des échantillons en fonction d’une grammaire afin de tester les entrées de chaque application. L’objectif est de dénicher le moyen de provoquer un crash aux moyens de documents HTML aléatoires. Ils mettent à l’épreuve les navigateurs face à du code HTML et des feuilles de style CSS.

Le bilan montre que le navigateur Safari est plus vulnérable que ses concurrents avec un total de 17 failles. Chrome se positionne en première place avec 2 failles contre 4 pour Firefox et Internet Explorer et 6 pour Edge. A noter que dans le cas de Firefox l’un des bugs n’est pas imputable aux codes de Mozilla mais à celui de la bibliothèque graphique Skia.

FirmeNavigateurMoteurNombre de bugsProject Zero Bug IDs
GoogleChromeBlink2994, 1024
MozillaFirefoxGecko41130, 1155, 1160, 1185
MicrosoftInternet ExplorerTrident41011, 1076, 1118, 1233
MicrosoftEdgeEdgeHtml61011, 1254, 1255, 1264, 1301, 1309
AppleSafariWebKit17999, 1038, 1044, 1080, 1082, 1087, 1090, 1097, 1105, 1114, 1241, 1242, 1243, 1244, 1246, 1249, 1250
Total31*

*While adding the number of bugs results in 33, 2 of the bugs affected multiple browsers

Pour les chercheurs en sécurité ce bilan est très encourageant. Il montre qu’avec le temps chaque navigateur a su renforcer son niveau de sécurité. Ivan Fratic, ingénieur chez Google Project Zero explique

 « Comme nous pouvons le constater dans le tableau, la plupart des navigateurs ont relativement bien réussi dans cette expérience avec seulement quelques ailles de sécurité. Dans la mesure où cette même méthodologie donnait des résultats nettement supérieurs il y a quelques années, cela démontre clairement les progrès réalisés pour la plupart des navigateurs »

Safari, bien plus de failles que ses concurrents

Au sujet de Safari, le chercheur souligne que nous avons une expérience beaucoup moins concluante avec un nombre plus élevé de bugs trouvés. A ses yeux, la situation est considérée comme « particulièrement préoccupante » sachant que ce navigateur est la cible de récentes attaques.

Aucune explication n’est donnée mais une comparaison est faite face à Chrome. L’ingénieur rappelle que les deux plateformes exploitaient il y a quelques années le même moteur. Chrome a cependant profité de son coté de l’ajout de « Blink ».

Cette séparation est-elle à la source de ces résultats ? Aucune information seulement des hypothèses

« Après la séparation Blink/WebKit, soit le nombre de bugs a été considérablement réduit dans Blink, soit le nombre de bugs a considérablement augmenté dans WebKit, soit les deux »

Sans avoir de réponse définitive Ivan Fratic ajoute cependant qu’Apple a été contacté sur la question afin de remédier à cette divergence.

Jérôme Gianoli

Aime l'innovation, le hardware, la High Tech et le développement durable. Soucieux du respect de la vie privée.

Un commentaire

  1. Non, mais quel hasard ! Un laboratoire d’Alphabet trouve qu’un produit Alphabet est plus sécuritaire que les produits concurrent!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page