Categories: Cloud

Google a-t-il manipulé une étude de sécurité pour couler Firefox ?

En début de semaine dernière, les chercheurs en sécurité IT d’Accuvant Labs publiaient une étude sur la sécurité des navigateurs Web. Leur méthodologie et leur indépendance est maintenant mise en cause par des experts externes.

Cette étude a été commandée et payée par Google, qui édite justement Chrome, l’un des trois butineurs mis au banc d’essai. C’est d’ailleurs celui qui est le grand vainqueur de ces tests.

Firefox était lui mis au ban des navigateurs, et devait, selon Accuvant, porter le fardeau de quatre portes grandes ouvertes aux malwares et hackers de tout genre.

Les experts d’un autre laboratoire de recherche, NSS Labs, ont été contactés par leurs propres clients après la publication de ces résultats. Ils voulant savoir s’il était encore sûr d’utiliser le navigateur de la Fondation Mozilla en entreprise.

L’entreprise indépendante s’est du coup penchée sur les résultats commandés par Google. Leurs trouvailles ont été publiées dans un papier (PDF) intitulé « La guerre des navigateurs prend un sale tournant« . Ambiance.

Ils soulignent pour commencer le timing parfait de cette publication, alors que les négociations entre Google et la Fondation Mozilla sur le financement de la Fondation sont au point mort.

Google fournit 84% des revenus de l’éditeur de Firefox et de Thunderbird par un accord voyant Google devenir le moteur de recherche par défaut du navigateur au renard de feu. Cet accord a expiré sans être renouvelé le 30 novembre, menaçant la fondation de mort financière.

Plus troublant, les grotesques erreurs de méthodologie d’Accuvant Labs :

« L’analyse du JIT hardening (mitigation des failles Javascript) échoue à reconnaitre les efforts d’implémentation de technologies très pro-actives de Microsoft dans IE9, qui sont absents de Chrome, » donnent comme exemple les chercheurs indépendants.

Pire, « Accuvant a désactivé des portions très importantes des protections des navigateurs autres que celui de Google, sans préciser l’impact de ce choix sur les résultats finaux. »

Par exemple, certains navigateurs ne bloquent les malwares que pendant les phases de téléchargement, et avant leur exécution.

« Cette erreur dans les tests a pour conséquence de conclure à tord à de mauvaises capacité de protection de ces navigateurs. »

La conclusion de NSS Labs : « Soit Accuvant a été laxiste dans ses méthodologies, soit Google – qui finance le projet – a exercé une influence indue sur la production de cette méthodologie pour son propre avantage. »

C’est déjà arrivé, et c’est pour ça que NSS Labs refuserait maintenant ce genre de commandes ont assuré les chercheurs à Computerworld.

Mais le blog de Sophos Naked Security, qui a relayé ces conclusions, souligne qu’il ne faut pas pour autant renier toutes les études financées par une partie prenante. Mais il faut les prendre avec prudence.

NSS Labs lance un dernier scud en direction de la firme de Mountain View : Google a arrêté en novembre dernier de partager ses propres progrès en matière de sécurité avec ses concurrents, en particulier la très efficace « protection par la réputation. »

Cette innovation a permis au navigateur open source Chrome de passer de 8% de succès contre les malwares à 40% de succès en moins de 10 jours, selon les études de NSS.

Un succès qui n’est du coup pas partagé avec le logiciel libre Firefox, juste au moment de la fin du contrat Google/Mozilla et de la publication de ce rapport à la méthodologie biaisée, soulignent les chercheurs – très remontés – de NSS Labs.

Logo : © egeneralk – Fotolia.com

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

1 semaine ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

3 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

3 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 mois ago