Internet Explorer 8 : Le meilleur contre le Phishing/Malware

Les cybercriminels utilisent l'ingénierie sociale afin d'inciter les utilisateurs à communiquer des informations personnelles (phishing) ou à installer sur leurs machines différents logiciels malicieux (espions, robots à spam, ...). A chaque fois, le navigateur Internet est le principal "ingrédient" : Il sert à établir la connexion avec le site de phishing ou à télécharger le logiciel qui va compromettre la machine de l'utilisateur.

Update, Vendredi 16/10/2009, 13h48:
Suite à ce commentaire, je viens d'effectuer quelques recherches. Effectivement, ce rapport a été commandité par Microsoft. Pour plus de détails, je vous invite à consulter cet article ArsTechnica, Microsoft-sponsored reports find IE8 most secure browser (Updated), October 13, 2009
Il convient donc d'en pondérer les résultats, même si il est indiqué que celui-ci a été demandé l'ingénierie de Microsoft et non pas la division du Marketing (cf l'update en base de page). On veux bien y croire un peu...mais pas trop quand même.


Les laboratoires "NSS Labs" ont récemment publiés deux comparatifs sur le niveau de protection des navigateurs Internet concernant la protection contre le phishing et la celle contre les malwares.
Les deux rapports sont disponibles en téléchargement depuis le site de NSS Labs :
NSS Labs, Socially Engineered Malware Report, Q3 2009
NSS Labs, Phishing Test Report, Q3 2009

A chaque fois, le navigateur Microsoft Internet Explorer 8 est sorti 1er avec en challenger direct Mozilla Firefox.

Sur la protection contre le phishing, l'écart entre IE 8 et FireFox est minime (3%) on peut donc dire que le niveau de protection est équivalent.



Par contre pour la protection contre le téléchargement de logiciels infectieux, IE est clairement au dessus (81% de protection) alors que Firefox est loin derrière avec un 27%.... Opera et Chrome ayant des scores frisant le fond avec respectivement 1% et 7% de protection : Pas de quoi claironner !


NSSLabs_BlockRateforSociallyEngineeredMalware_Q3-2009.jpg

De façon assez surprenante, on peut voir que Chrome 2 est avant-dernier sur les deux tests... Opera 10 et Safari 4 étant alternativement 3ième ou alors bons derniers.

Il est intéressant de constater que, bien que la même API "Google SafeBrowsing" soit utilisée par Safari, Chrome et Firefox, les résultats sont clairement différents entre-eux : Paradoxalement, c'est Google Chrome qui sort en queue de classement : Les développeurs de Mozilla Firefox ont été mieux à même de mieux "tirer le jus" de l'API que Google lui-même. Excellent !

En tout cas, il n'y a pas photo, Microsoft a pris la tangente. Chapeau !

Quelques points de modération de ces résultats
Ces tests n'intégrent pas la résistance des navigateurs contre les attaques visant spécifiquement des vulnérabilités de ceux-ci ni des éventuelles extensions de ces navigateurs.

Conclusion
A niveau de sécurité équivalent coté système d'exploitation (merci Windows Update), un navigateur mise à jour et des extensions/logiciels patchés (Via Secunia PSI par exemple) ; l'utilisation d'Internet Explorer 8 propose un meilleur niveau de protection contre les deux grandes menaces que sont le phishing et les malwares.

D'un autre coté, quand une vulnérabilité est découverte au niveau du navigateur Firefox celle-ci est très souvent patchée beaucoup plus rapidement que si elle impacte Internet Explorer...

Le mot de la fin
Et comme d'habitude, à chacun de faire son choix ! Un utilisateur averti et conscient des attaques de phishing/malware préférera utiliser Firefox alors que pour Mr/Mme toutlemonde, le choix d'IE 8 sera peut-être préféré.

En tout cas, la guerre des navigateurs est donc bien toujours d'actualité ! C'est une bonne chose qu'elle porte (aussi) sur la sécurité et pas uniquement les widgets et autre "fioritures" pas forcément toujours utiles. :-)


Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens