Navigateurs Web en entreprise : faire le bon choix et comparer ce qui est comparable !

Que vous travaillez dans l'informatique ou que vous soyez un "simple" utilisateur, vous êtes certainement au courant qu'une véritable guerre des navigateurs est en train d'avoir lieu depuis plusieurs années et s'intensifie depuis quelques mois avec la présence de nombreux acteurs (Microsoft, la fondation Mozilla, Google...)

Un des catalyseurs est certainement la décision de la cours européenne ayant pour conséquence la mise en place d'un "écran de choix" (ballot screen) permettant à chaque utilisateur de Windows de choisir le navigateur qu'il souhaite utiliser.

On comprend du coup pourquoi certaines sociétés investissent massivement dans la publicité pour faire connaitre leur navigateur auprès du grand public.

A l'échelle individuelle et domestique, ce choix n'a pas d'impact fort vis à vis de l'utilisateur qui peut choisir et assumer le changement et les conséquences associées (petite réadaptation en cas de choix d'un nouveau navigateur, prise en main de la nouvelle interface, "formation" du reste de la famille, vérification que les sites habituellement consultés fonctionnent bien...)

A l'échelle d'une entreprise, le problème est un peu plus complexe et le choix de basculer d'un navigateur X vers un navigateur Y (ou d'ajouter de nouveaux navigateurs, ou de migrer d'une version A vers une version B) doit être fait à l'échelle globale est non individuelle; ceci pour des raisons assez évidentes :

- L'utilisateur standard en entreprise n'est généralement pas administrateur de son poste de travail. Aussi, il ne dispose pas des privilèges nécessaires pour installer ou mettre à jour son navigateur (à l'exception de Google Chrome qui peut s'installer avec des privilèges standards dans le profil de l'utilisateur)

- Le déploiement d'un nouveau navigateur implique, comme pour un changement de Système d'Exploitation (ex: migration de Windows XP vers Windows 7), un travail préalable de qualification de l'ensemble des applications et services utilisés dans l'entreprise. Comme tout projet de migration, il va donc y avoir un ensemble de phases : qualification, tests, pilote, déploiement & coexistence durant le déploiement et support. L'ensemble des développements en cours d'applications accessibles via un navigateur devront être modifiés afin d'intégrer les tests fonctionnels et de compatibilité avec le nouveau navigateur (ou la nouvelle version).

- Le navigateur comme les autres éléments du Poste de Travail doit être administrable et configurable de manière centralisée (sauf peut-être dans le cas d'une TPE avec moins d'une quinzaine de postes). L'administrateur doit pouvoir facilement définir tel ou tel paramètre et l'appliquer simplement sur les postes, utilisateurs ou groupes ciblés

- Le maintien à jour du navigateur en terme de mises à jour de sécurité est également un point fondamental en entreprise car si cette tâche n'est pas réalisée, le navigateur peut devenir très rapidement un vecteur de menaces (codes malveillants, vol d'informations...) pour le Système d'Information (et donc l'ensemble de l'activité de l'entreprise)

- Démultiplier les navigateurs utilisés dans un parc informatique implique mécaniquement des coûts supplémentaires :

  • qualification de l'intégration du navigateur au sein du Système d'Information (authentification intégrée, support des autorités de certifications internes...) 
  • qualification du navigateur avec les applications métiers existantes
  • adaptation des applications existantes pour le support de plusieurs navigateurs
  • Nouveaux tests fonctionnels lors des développements internes (ou externalisés)
  • formation des utilisateurs finaux
  • formation des équipes de support 1er niveau
  • gestion des mises à jour pour le(les) nouveau(x) navigateur(s)
  • gestion des mises à jour pour les add-ons du(des) nouveau(x) navigateur(s)

Après avoir participé à des discussions sur le sujet avec de nombreux clients qui s'interrogent sur le choix de conserver Internet Explorer ou de migrer vers un autre navigateur, j'aimerais partager plusieurs points sur lesquels mythes et réalité se mélangent.

Je vais me focaliser dans la suite de cet article sur les 3 navigateurs les plus utilisés aujourd'hui (source : http://www.netmarketshare.com/browser-market-share.aspx?qprid=1&sample=15)

  • Internet Explorer (62,1% de part du marché mondial en janvier 2010)
  • Firefox (24,4% de part du marché mondial en janvier 2010)
  • Google Chrome (5,2% de part du marché mondial en janvier 2010)

Pour ces 3 navigateurs, je vais reprendre les points cités ci-dessus concernant les éléments clés en entreprise et essayer de donner leurs points forts ou faiblesses en entreprise.

Si vous souhaitez réagir / compléter ou corriger certains points, vous pouvez me contacter en cliquant ici. Je mettrai à jour ce billet sous réserve que vos arguments ne relèvent pas du commentaire “trollesque” ou de la “Fanboy attitude” :-)

_______________

Tout d'abord un peu d'histoire afin de comparer ce qui est comparable.

Trop souvent, en termes de sécurité ou de fonctionnalités on me compare IE 6 aux dernières versions de Firefox (3.0.x ou 3.5). C'est un peu comme comparer une Renault 5 à une Peugeot 208. Internet Explorer 6 a été conçu il y a 10 ans et est sorti en 2001; Firefox 3.0.x est disponible depuis le 17 juin 2008 soit prêt de 7 ans après ce qui a l'échelle des technologies de l'information est simplement énorme.

Donc commençons avec l'historique de nos 3 navigateurs :

Et pour être plus précis sur les dates :

  • Internet Explorer 6 : octobre 2001
  • Firefox 1.0.x : 9 novembre 2004
  • Firefox 1.5.x : 30 novembre 2005
  • Internet Explorer 6 SP2 : aout 2006
  • Internet Explorer 7 : 19 octobre 2006
  • Firefox 2.0.x : 24 octobre 2006
  • Firefox 3.0.x : 17 juin 2008
  • Internet Explorer 8 : 19 mars 2009
  • Google Chrome 2.0 : 21 mai 2009
  • Firefox 3.5.x : 30 juin 2009
  • Google Chrome 3.0 : 15 septembre 2009
  • Firefox 3.6.x : 21 janvier 2010
  • Google Chrome 4.0 : 25 janvier 2010

Donc en terme de comparaison des fonctions, si on prend les navigateurs par période, il est possible (et plus équitable) de comparer :

  • IE 6 avec Firefox 1.0.x
  • IE 7 avec Firefox 2.0.x
  • IE 8 avec Firefox 3.5.x et/ou Google Chrome 2.0 voire 3.0
  • Firefox 3.6.x avec Google Chrome 4.0
     

————————————————————-

Installation & Déploiement en entreprise

Installation d'un navigateur : principes généraux

A la maison, l'installation d'un navigateur est fait à l'initiative de l'utilisateur (propriétaire) du poste de travail. Nous sommes tous administrateurs de nos machines personnelles et donc la recherche des packages ainsi que l'installation d'un navigateur sont relativement aisés. Au passage, chaque navigateur propose lors de son installation de devenir le navigateur par défaut pour surfer sur Internet ainsi que des fonctions d'importation des favoris de l'ancien navigateur.

En entreprise, l'installation ou la mise à jour d'un navigateur peut être réalisée dans 2 cas possibles :

- Lors de la création d'un master (image standardisée) du Poste de Travail. Master qui sera appliqué sur les nouveaux postes.
- Au travers d'un package d'installation automatisée distribué via des outils télédistribution (ex: SCCM...) ou via des scripts
- Plus rarement : à l'initiative de l'utilisateur final (sous réserve qu'il dispose des privilèges nécessaires)

Note : Internet Explorer et Firefox nécessitent des droits administrateur pour être installés sur un poste de travail Windows. Google Chrome peut s'installer avec les privilèges standards de l'utilisateur (les binaires sont copiés dans le profil de l'utilisateur) mais générera une erreur si l'utilisateur veut le définir comme navigateur par défaut.

Package d'installation

Un package d'installation intègre le paramétrage complet du navigateur mais aussi de manière optionnelle, l'intégration de composants tiers (plug-ins...). Le package d'installation est le plus souvent utilisé en entreprise pour effectuer des installations automatisées (sans intervention de l'utilisateur final) de produits.

Le format standardisé et le plus utilisé en terme de package sous Windows est le format .MSI (format utilisable par la majorité des systèmes de télédistribution, utilisable également pour déployer via les stratégies de groupes AD)

-> Package d'installation avec Internet Explorer

Depuis Internet Explorer 4.0, Microsoft met à disposition de ses clients, un outil baptisé IEAK (Internet Explorer Administration Kit) qui permet de créer simplement au travers d'un assistant un package personnalisé .MSI ou .exe pour le navigateur.

Plus d'informations sur l'IEAK :
http://blogs.msdn.com/iefrance/archive/2009/11/12/d-ploiement-d-internet-explorer-8-0-dans-l-entreprise-partie-3.aspx

-> Package d'installation avec Firefox

La fondation Mozilla ne fournit pas d'outil de création de package d’installation. Historiquement, un produit baptisé Firefox Client Customization Kit (CCK) existait pour les versions 1.5 et 2.0 mais plus aucune évolution n'a eu lieu depuis 2006.

Informations complémentaires sur le CCK :
http://www.mozilla.org/projects/cck/firefox/

La fondation Mozilla ne fournit pas non plus de package au format .MSI
Certains sociétés tierces proposent donc (et facturent), la création de packages au format MSI (ex: FrontMotion http://www.frontmotion.com/Firefox/). Packages qui doivent être renouvelés à chaque mise à jour (pour la télédistribution des mises à jour si l'utilisateur final n'est pas administrateur de son poste)

Informations complémentaires
Bug 231062 -  (MSI) Provide Firefox MSI package 
https://bugzilla.mozilla.org/show_bug.cgi?id=231062

L'installation automatisée de Firefox peut donc passer par l'exécution d'une ligne de commande dans un script (sous réserve d'être exécutée avec des privilèges administrateur)

Informations complémentaires :
https://wiki.mozilla.org/Installer:Command_Line_Arguments

-> Package d'installation avec Google Chrome

Par défaut, l'installation de Google Chrome passe par le téléchargement d'un lanceur (petit programme) qui une fois exécuté va télécharger le reste des binaires. Il est également possible de télécharger un .exe contenant l'ensemble des binaires nécessaire à l'installation.

En terme de personnalisation, Google ne fournit pas aujourd'hui de documentation précise sur la personnalisation du package original.

Informations complémentaires :
http://code.google.com/p/chromium/issues/detail?id=22733

 

Déploiement

le déploiement automatisé permet de distribuer le package du navigateur sur le réseau d’entreprise à partir d'un emplacement central, en choisissant le groupe d'ordinateurs ou d’utilisateurs pour lesquels l'administrateur souhaite installer le package et les dates et heures de l'installation.

Cette flexibilité permet d’éviter l'encombrement du réseau et de s'assurer que le déploiement se produise sans gêner les utilisateurs et après qu’ils aient eu suffisamment de temps pour recevoir une formation.

-> Déploiement d'Internet Explorer

Internet Explorer 8.0 peut être déployé en entreprise avec les méthodes suivantes :

– Windows Update *
– Windows Server Update Services (WSUS) *
– Microsoft System Center Configuration Manager (SCCM) 2007
– Microsoft Systems Management Server (SMS) 2003
– Un répertoire dans un partage réseau * 
– CD, stockage amovible *
– Un lien Internet dans un courrier électronique ou une page Web *
– Via les stratégies de groupe Active Directory (en utilisant un package d'installation .msi)   cf. http://support.microsoft.com/kb/816102
– Toute solution tierce de télédistribution

Note : certaines méthodes (celles marquées avec un astérisque) nécessitent une intervention manuelle de l'utilisateur. Dans un cadre de déploiement d’entreprise, il est préférable d’éviter toute intervention de l’utilisateur final dans le processus

Informations complémentaires :

Windows Server Update Services (gratuit) (http://go.microsoft.com/fwlink/?LinkID=71054) permet de déployer sur un ensemble d’ordinateurs les mises à jours disponible via Windows/Microsoft Update, en contrôlant à la fois les machines cibles et les mises à jours désirées et le déclenchement de l’installation.

Systems Management Server 2003 (http://go.microsoft.com/fwlink/?LinkId=83127) ou System Center Configuration Manager 2007 (SCCM) http://go.microsoft.com/fwlink/?LinkId=83127) qui permettent de déployer non seulement le package original mais aussi tout package personnalisé de IE 8 réalisé avec l’IEAK

Déployer Internet Explorer 8 dans l’entreprise à l'aide de SCCM 2007
http://blogs.msdn.com/iefrance/archive/2009/11/23/d-ployer-internet-explorer-8-dans-l-entreprise-l-aide-de-sccm-2007-part-1.aspx
http://blogs.msdn.com/iefrance/archive/2009/11/23/d-ployer-internet-explorer-8-dans-l-entreprise-l-aide-de-sccm-2007-part-2.aspx

-> Déploiement de Firefox

Le déploiement en entreprise de Firefox peut être effectué comme Internet Explorer via des outils de télédistribution (sous réserve que la solution supporte comme package distribuable un .exe avec les arguments en ligne de commande).

Un des rares outils de déploiement automatisé de Firefox en entreprise qui s'appelait FFDeploy n'est plus maintenu depuis le 6 février 2005

Informations complémentaires sur FFDeploy : http://firefox.dbltree.com/

Avec un package .MSI de Firefox (que vous devez créer ou acquérir à l'extérieur de la Fondation Mozilla), il est également possible de déployer Firefox via les GPO (même si c'est moins bien qu'avec un outil de télédistribution car il n'y a pas de reporting)

-> Déploiement de Google Chrome

Comme Firefox, il n'existe pas de package .MSI d'installation de Google Chrome, il faut donc en créer un ou alors utiliser une solution de télédistribution (sous réserve que la solution supporte comme package distribuable un .exe avec les arguments en ligne de commande).

Attention à bien tester cependant car il va falloir cibler la distribution par utilisateur et non par machine (je le rappelle, les binaires de Google Chrome sont installés dans le profil de l'utilisateur).

Point important en entreprise pour ceux qui utilisent les profils errants et ont limité la taille des profils : les binaires sont dans le profil de l'utilisateur.

Autre point important : du fait de son installation dans le profil des utilisateurs, il n'est pas possible d'inclure Google Chrome dans les masters des systèmes d'exploitation appliqués sur les postes d'entreprise. L'installation doit être effectuée dans une phase postérieure au déploiement de l'image c'est à dire lorsque l'utilisateur reçoit son poste de travail et se connecte dessus.

Informations complémentaires : Google Chrome Installation and Updates (lire les commentaires)
http://blog.chromium.org/2009/01/google-chrome-installation-and-updates.html

———————————————————

Administration & configuration centralisée

Une fois que le navigateur est déployé (via installation standard ou déjà personnalisée comme vu ci-dessus), il faut que l'administrateur puisse avoir le contrôle complet de la configuration du navigateur sur les postes de travail de l'entreprise.

Le contrôle centralisée des configurations permet à l'administrateur des actions telles que :
- personnaliser la barre de titre, l'apparence du navigateur
- modifier le paramétrage du proxy à utiliser (utile lors des migrations de proxy ou en cas d'opération de maintenance)
- définir la(les) page(s) d'accueil par défaut
- griser ou interdire l'accès à certains paramètres ou options du navigateur
- Ajouter ou supprimer des favoris d'entreprise
- Autoriser ou bloquer des ActiveX
- Autoriser ou bloquer certaines fonctions (ex: navigation en mode privé...)
- personnaliser une fonction (ex: empêcher de poursuivre la navigation sur un site suspect identifié par le filtre anti-phishing...)
- etc...

-> Administration & configuration centralisée avec Internet Explorer

Historiquement, il est possible depuis Windows Server 2000 et Active Directory de gérer de manière centralisée la configuration d’Internet Explorer (de la version 5.0 à la 8.0). Au total, c’est aujourd’hui plus de 1200 objets de stratégies qui sont paramétrables via GPO, que ce soit au niveau du poste de travail ou de l’utilisateur. Il est donc possible de maitriser 100% de la configuration d'IE via GPO.

Informations complémentaires :

Group Policy and Internet Explorer 8
http://technet.microsoft.com/en-us/library/cc985351.aspx

-> Administration & configuration centralisée de Firefox

Le paramétrage de Firefox est principalement situé dans 2 fichiers qui sont donc éditables et diffusables (via scripts) :

http://kb.mozillazine.org/Prefs.js_file
http://kb.mozillazine.org/User.js_file
http://kb.mozillazine.org/About:config_entries

La fondation Mozilla ne fournit pas de mécanismes permettant de gérer Firefox via les stratégies de groupe Active Directory.

Cependant il existe des projets communautaires qui proposent des fichiers .ADM permettant d'utiliser les stratégies de groupes pour paramétrer (partiellement) Firefox.

Exemple : FirefoxADM version 0.5.9.3
http://sourceforge.net/project/shownotes.php?release_id=681274

Note : la dernière mise à jour date de mai 2008 et ne doit donc pas intégrer les nouveautés de Firefox 3.0.x et versions supérieures.

-> Administration & configuration centralisée de Google Chrome

Le paramétrage de Chrome n'est pas vraiment très bien documenté actuellement. Il est possible de paramétrer Chrome en utilisant des arguments dans la ligne de commande exécutant Chrome (cf. http://src.chromium.org/svn/trunk/src/chrome/common/chrome_switches.cc)

Une liste des arguments utilisables en ligne de commande pour exécuter Chrome est disponible aux adresses suivantes :
http://www.ericdlarson.com/misc/chrome_command_line_flags.html
http://www.waltercedric.com/component/content/article/261-google/1713-google-chrome-exhaustive-command-line-switches.html

Google ne fournit pas de mécanismes permettant de paramétrer Chrome via les stratégies de groupe Active Directory.

cf. Group Policy ADM Templates
http://www.google.com/support/forum/p/Chrome/thread?tid=4a5e8d605c723c03&hl=en

—————————————————————-

Sécurité & Gestion des mises à jour

Quel que soit le navigateur choisi pour l'entreprise, il est vital d'appliquer une gestion rigoureuse des mises à jour de sécurité, le navigateur étant une des portes d'entrée potentielle des menaces sur le poste de travail et donc sur le Système d'Information.

-> Mise à jour d'Internet Explorer

Les mises à jour d'Internet Explorer 8.0 sont téléchargées automatiquement depuis Microsoft Update via les mécanismes de Windows Update. Il est possible (et recommandé) de gérer les mises à jour de manière centralisée via Windows Update Server (qui est gratuit), System Center Configuration Manager ou toute autre solution de télédistribution.

La configuration des mécanismes de mise à jour de Windows Update est paramétrable entièrement via stratégie de groupe.

La mise en ligne des correctifs de sécurité de Microsoft est prédictible (les correctifs de sécurité sont distribués sur une base mensuelle, le deuxième mardi du  mois hors correctif critique hors cycle) et permet ainsi aux administrateurs de planifier et réserver du temps à la gestion des correctifs (test, validation, déploiement et suivi).

-> Mise à jour de Firefox

Par défaut Firefox vérifie quotidiennement la présence de mises à jour. Une vérification est également fait au premier redémarrage après une mise à jour.

L'installation des mises à jour nécessite des privilèges administrateur et impose donc généralement en entreprise l'usage d'une solution de télédistribution (les utilisateurs standards ne disposant pas des droits nécessaires). En complément du navigateur et en cas d'usage de modules complémentaires, il faut également vérifier la mise à jour de ceux-ci.

Informations complémentaires : Software Update: Checking For Updates
https://wiki.mozilla.org/Software_Update:Checking_For_Updates

-> Mise à jour de Google Chrome

Google Chrome est maintenu à jour au travers de l'application Google Update qui est installée sur le poste et qui est l'équivalent pour les produits Google de l'agent Microsoft Update.

Le paramétrage du composant Google Update peut être effectué via Stratégie de groupe car Google a mis à disposition des administrateurs Active Directory un modèle d'administration (fichier .ADM)

Par défaut, Google Update vérifie toutes les 24h (pour être exact toutes les 23 heures et 20 minutes) la présence de mise à jour.
 
Informations complémentaire : Google Update for Enterprise
http://www.google.com/support/installer/bin/answer.py?hl=en&answer=146164

-----------

Autres points importants en entreprise

Au-delà de la personnalisation, du packaging, du déploiement, de la configuration centralisée et de la gestion des mises à jour du navigateur, il existe aussi certains points auxquels il faut prêter attention lors du choix du navigateur à utiliser en entreprise.

1- Gestion des autorités de certification interne / tierces

Le navigateur utilisé en entreprise doit pouvoir être configurable facilement pour ajouter et faire confiance à des autorités de certifications internes (PKI d'entreprise, PKI d'infrastructure...). Ainsi, l'utilisation de certificats "internes" à l'entreprise ne posera pas de problèmes (message d'avertissement sur la confiance dans le certificat présenté par un serveur intranet par exemple)

Internet Explorer utilise les magasins de certificats de Windows et ne nécessite pas de paramétrage particulier. La gestion des magasins de certificats de Windows est réalisable de manière centralisée via stratégies de groupe.

Firefox utilise son propre magasin de certificats qui est complétement indépendant de Windows.

La gestion de ce magasin nécessite la création de scripts et l'usage des outils fournit à l'adresse suivante :
http://www.mozilla.org/projects/security/pki/nss/tools/index.html

Note : le magasin de certificat de Firefox est propre à chaque profil utilisateur.

Google Chrome utilise comme Internet Explorer les magasins de certificats de Windows.

2– Support de l'authentification Windows Intégrée

En entreprise, la majorité des sites internes et applications intranet nécessite une authentification des utilisateurs pour des raisons évidentes de sécurité des accès et confidentialité des données.

Si les applications (ex: SharePoint...) sont hébergées sur des serveurs Web Windows, alors l'authentification utilisée est généralement basée sur les identifiants présents dans l'Active Directory et déjà utilisés par l'utilisateur pour se logguer sur son poste de travail Windows.

Historiquement, Windows supporte l'authentification intégrée et transparente pour les utilisateurs. Ainsi, un utilisateur déjà loggué sur son poste de travail peut aller par exemple sur un site Sharepoint sans avoir à ressaisir ses identifiants dans Internet Explorer. C'est Internet Explorer qui transmet automatiquement les crédentiels au serveur sans intervention de l'utilisateur.

Firefox et Google Chrome ne disposent pas de cette fonctionnalité et imposent donc à l'utilisateur de ressaisir son compte et mot de passe (attention donc au changement d'usage impactant directement les utilisateurs finaux).

Cette problématique d'authentification est également la même vis à vis des proxies authentifiant qui permettent l'accès au Web aux utilisateurs connectés au réseau de l'entreprise.

3– Support des ActiveX

De nombreuses applications d'entreprise (applications métiers ou progiciels) sont encore basées sur l'utilisation de contrôles ActiveX

ActiveX est pris en charge uniquement par Internet Explorer (et par les navigateurs conçus à partir d'Internet Explorer) sous Windows. Google Chrome, Firefox et les autres navigateurs ne prennent pas en charge ActiveX.

===========

Sécurité du navigateur

Sur la sécurité du navigateur, il est commun d'entendre tout et son contraire. Les afficionados du navigateur X ne seront jamais à cours d'arguments pour critiquer les navigateurs Y ou Z.

La seul chose sur laquelle tout le monde devrait être d'accord, c'est qu'il faut absolument utiliser un navigateur récent car ce sont les dernières générations qui disposent des mécanismes de sécurité les plus efficaces pour contrer les menaces venant du Web.

Ensuite, il est toujours possible de faire une liste exhaustive des différents mécanismes de tel ou tel navigateur sachant qu'au final, quand on compare ce qui est comparable (des navigateurs sortis dans une même période), les différences sont assez minimes.

Voici donc une liste (non exhaustive) de documents

-> Mécanismes de sécurité d'Internet Explorer 8.0

Présentation de la sécurité Internet Explorer 8.0
http://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspx

Note : Internet Explorer 8 est aujourd'hui le seul navigateur sous Windows Vista & Windows 7 à disposer d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>\Windows\Temp\Temporary Internet Files.

A Safer Online Experience
http://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDF

-> Mécanismes de sécurité de Firefox

http://www.mozilla.com/en-US/firefox/features/#security
http://www.mozilla.org/security/
http://blog.mozilla.com/security/

-> Mécanismes de sécurité de Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95572
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://www.google.com/support/chrome/bin/topic.py?hl=en&topic=14666

Beaucoup de personnes argumentent (ou ont argumentées) que la sécurité d'un navigateur se mesure au nombre de vulnérabilités découvertes ou au nombre de bulletin de sécurité ou encore au nombre de failles non corrigées...

Même si c'est un indicateur, cela ne peut pas refléter de manière sûre la qualité de tel ou tel produit. En effet, la popularité d'un navigateur implique forcément un intérêt accru des chercheurs en sécurité (mais aussi de certains  cybercriminels) qui vont investir plus de moyens pour essayer de découvrir la présence de vulnérabilités. Un navigateur utilisé par 1000 personnes peut donc apparaitre comme sans vulnérabilités connues si personne (à l'exception de ses développeurs) n'a passé du temps à l'étudier.

Tout logiciel peut avoir des vulnérabilités ou des erreurs dans son code car à l'origine de celui-ci, il y a un développeur qui reste avant tout un humain pouvant faire des erreurs.

Pour déterminer et comparer le nombre de vulnérabilités ou de bulletins de sécurité d'un navigateur, il est possible de se baser sur les informations présentées sur le site de l'éditeur.

Dans le cas de nos trois navigateurs, les informations sont aux adresses suivantes :

Internet Explorer : http://www.microsoft.com/technet/security/current.aspx (dans le menu déroulant, choisir la version d'IE concernée)

Mozilla Firefox : http://www.mozilla.org/security/known-vulnerabilities/

Google Chrome : http://www.google.com/search?hl=en&q=google+chrome+vulnerability+advisory+site%3Agoogle.com&aq=f&aqi=&aql=&oq=  (Je suis preneur si quelqu'un a une meilleure adresse)

Reste que là encore, la méfiance vis à vis des éditeurs poussent de nombreuses personnes à argumenter que toutes les vulnérabilités ne sont pas déclarées officiellement par l'éditeur ou pas comptabilisées correctement. On entre ici dans un second débat qui est l'utilisation du nombre de vulnérabilités versus le nombre de bulletins de sécurité (un bulletin pouvant couvrir plusieurs vulnérabilités).

Pour être indépendant des données officielles de chaque éditeur, il est également possible d'utiliser les données fournies par des sociétés ou sites web indépendants qui gèrent eux-mêmes les vulnérabilités ou avis de sécurité. Parmi ces sites, un des plus complets est Secunia à partir duquel je vais extraire les données concernant nos trois navigateurs.

Note : certaines informations de Secunia peuvent et sont parfois contestées (par les éditeurs et/ou les experts en sécurité).

Le graphique permet très bien de voir qu’il ne faut vraiment pas comparer des navigateurs de générations différentes :-)

Dans le détail nous avons donc les informations suivantes (à la date du 26/02/2010)

Internet Explorer 6.0 : http://secunia.com/advisories/product/11/?task=statistics
Sortie avec XP en octobre 2001 (XPSP2 = aout 2004)
144 Avis de sécurité de Secunia
185 Vulnérabilités
Non patché (pour Secunia) : 17% (24 bulletins sur 144)
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=11

Firefox 1.x : http://secunia.com/advisories/product/4227/?task=statistics
Firefox 1.0.x sorti le 9 novembre 2004
45 Avis de sécurité de Secunia
209 Vulnérabilités
Non patché (pour Secunia) : 7%

Internet Explorer 7.0 : http://secunia.com/advisories/product/12366/?task=statistics
Sortie avec Vista le 19 octobre 2006 (même période que Firefox 2.0)
43 Avis de sécurité de Secunia
108 Vulnérabilités
Non patché (pour Secunia) : 26% (11 sur 43)
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12366

Firefox 2.x : http://secunia.com/advisories/product/12434/?task=statistics
Firefox 2.0.0.x sorti le 24 octobre 2006
29 Avis de sécurité de Secunia
154 Vulnérabilités
Non patché (pour Secunia) : 10% (3 bulletins sur 29)
graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12434

Firefox 3.0.x : http://secunia.com/advisories/product/19089/?task=statistics
Firefox 3.0.0.x sorti le 17 juin 2008
23 Avis de sécurité de Secunia
150 Vulnérabilités
Non patché (pour Secunia): 0%
graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=19089

Internet Explorer 8.0 : http://secunia.com/advisories/product/21625/?task=statistics
Sortie le 19 mars 2009
Sortie avec Windows 7 en aout 2009
9 Avis de sécurité de Secunia
32 Vulnérabilités
Non patché (pour Secunia) : 42% (4 sur 9)
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=21625

Google Chrome 2.X : http://secunia.com/advisories/product/25469/
Sortie : 21 mai 2009
5 Avis de sécurité de Secunia
10 Vulnérabilités
Non patché (pour Secunia) : 20% (1 sur 5)

Firefox 3.5.x : http://secunia.com/advisories/product/25800/?task=statistics
Sortie Firefox 3.5.0.x le 30 juin 2009
7 Avis de sécurité de Secunia
54 Vulnérabilités
Non patché (pour Secunia) : 0%
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=25800

Google Chrome 3.x : http://secunia.com/advisories/product/25720/
Sortie : 15 septembre 2009
5 Avis de sécurité de Secunia
16 Vulnérabilités
Non patché (pour Secunia) : 40% (2 sur 5)

Firefox 3.6.x : http://secunia.com/advisories/product/28698/
Sortie Firefox 3.6.x le 21 janvier 2010
1 Avis de sécurité de Secunia
1 Vulnérabilités
Non patché (pour Secunia): 100%

Google Chrome 4.x  :  http://secunia.com/advisories/product/28713/
Sortie : 25 janvier 2010
2 Avis de sécurité de Secunia
9 Vulnérabilités
Non patché (pour Secunia): 50% (1 sur 2)

Point complémentaire important à souligner en terme de sécurité, c’est la gestion des composants additionnels au navigateur tels que Acrobat Flash, Acrobat Reader, Apple Quicktime, Realtime…. Ces composants deviennent aujourd’hui une cible intéressante et un vecteur de menaces non négligeable pour les Systèmes d’Information. Il convient donc de traiter ces composants avec la même rigueur que le navigateur en terme de gestion des mises à jour.

Le dernier rapport de Microsoft sur la sécurité (téléchargeable ici) met parfaitement en évidence cette problématique et permet au passage de voir que le “paysage” de la sécurité du navigateur change complétement en fonction du Système d’Exploitation utilisé.

Source : Rapport Microsoft sur les données de sécurité v7 (De janvier à juin 2009)

Disponible en téléchargement à l’adresse : http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=037f3771-330e-4457-a52c-5b085dc0a4cd

——————————

En conclusion, j’espère au travers de cet article vous avoir éclairé sur les différents points importants qu’il faut prendre en compte lors du choix d’un nouveau navigateur ou d’une nouvelle version d’un navigateur pour les postes de travail en entreprise à savoir :

  • Installation & Déploiement en entreprise
  • Sécurité du navigateur
  • Gestion des mises à jour
  • Gestion des autorités de certification interne / tierces
  • Support de l'authentification Windows Intégrée
  • Support des ActiveX

Je reste ouvert à tout commentaire (que vous pouvez m’envoyer via le formulaire disponible ici) permettant une évolution de ce document.

Comments

  • Anonymous
    March 17, 2010
    Bonjour Stanislas, Concernant l'authentification intégré, il semble qu'il soit possible d'y recourir avec FireFox moyennant l'activation d'une option (network.automatic-ntlm-auth.trusted-uris) comme décrit sur cet article : http://blog.pachiron.com/2009/10/windows-integrated-authentification-avec-firefox/ ,Jonathan

  • Anonymous
    June 02, 2010
    J'ai une erreur 500 sur votre URL  :-( Sinon, effectivement, il semble possible de faire une authentification intégrée mais pour cela il faut définir manuellement quels sont les sites avec lequel activer cette authentification intégrée. cf. kb.mozillazine.org/Network.automatic-ntlm-auth.trusted-uris Perso, je ne trouve pas cela très simple à mettre en oeuvre ;-)

  • Anonymous
    October 25, 2010
    Bonjour, Le .msi existe maintenant pour google chrome : www.google.com/.../eula.html Je l'ai téléchargé mais maintenant, je cherche comment le déployer :-)

  • Anonymous
    May 29, 2012
    Pour Google Chrome, effectivement le msi est directement téléchargeable . De plus, l'ensemble des paramétrages est accessible et configurable via GPO (et en français !). => support.google.com/.../topic.py