Mozilla victime de failles de sécurité critiques

D’importantes failles de sécurité ont été découvertes dans la suite Internet Mozilla, le navigateur Firefox et le client de messagerie Thunderbird. Rappelons que ces deux dernières applications, également open source et parfaitement opérationnelles, sont des versions de développement destinées à être intégrées dans la suite Mozilla. Au total, sept failles touchent les applications mentionnées, ainsi que Netscape en version 7.2. Exploitées par des personnes malintentionnées, ces brèches permettent d’exécuter des instructions à distance sur les PC victimes ou encore d’accéder aux informations qu’ils renferment.

La découverte des trous de sécurité – et leur révélation – entre dans le cadre du programme intitulé Mozilla Security Bug Bounty. Mis en place cet été par la fondation Mozilla, il offre une récompense de 500 dollars aux chasseurs de failles (voir édition du 3 août 2004). Marcel B?sch, Gael Delalleau, Georgi Guninski et Mats Palmgren sont les premiers à toucher la récompense, qui se veut plus symbolique que réellement motivante – Mats Palmgren l’a d’ailleurs reversée à la Fondation Mozilla. Ce programme bénéficie, pour l’heure, d’un budget de 10 000 dollars, essentiellement provisionné par les donations de 400 membres. Les failles ont été corrigées dans les nouvelles versions des applications, à savoir Mozilla 1.7.3, Firefox 1.0 Preview Release (prochainement en 1.0 finale) et Thunderbird 0.8, pour le moment disponibles uniquement en anglais. Les versions localisées ne devraient pas tarder.

Internet Explorer en perte de vitesse

Est-ce cette politique de sécurité préventive qui rend Mozilla et ses variantes de plus en plus populaires ? Difficile à dire mais selon la société d’analyse WebSideStory (qui s’appuie sur un panel de sites de commerce électronique et de grandes marques), la part de marché de Mozilla et consorts est passée de 3,5 % en juin 2004 à 5,2 % en septembre 2004. Au détriment d’Internet Explorer qui est passé de 95,6 % à 93,7 % sur la même période. Les nombreuses failles dont est régulièrement victime Internet Explorer ainsi que les annonces alarmantes du gouvernement américain (qui conseille, à travers l’US-CERT, un organisme chargé de prévenir les attaques en ligne, d’éviter IE) n’ont probablement pas aidé le navigateur de Microsoft à se maintenir. Mais la récente mise à jour majeure de Windows XP pourrait inverser la tendance (voir notre dossier sur le SP2). Le SP2 renforce (un peu) la protection d’IE et d’Outlook Express. Mais rien n’interdit de penser que Mozilla séduit simplement par ses qualités : rapidité de l’affichage, navigation par onglets et respect des standards du Web.