Symantec épingle les vulnérabilités de Firefox

Sur le dernier semestre, Symantec a découvert deux fois plus de failles de sécurité dans le navigateur alternatif que dans Internet Explorer. Autre révélation/prédiction de l'éditeur: la VoIP deviendra un vecteur majeur d'attaques dans les prochains mois.

Symantec voit de l'insécurité partout sur Internet. Dans la dernière édition de son rapport semestriel, Internet Security Threat Report, le spécialiste américain de la sécurité épingle Firefox. Depuis janvier 2005, 25 vulnérabilités ont été découvertes dans les différents navigateurs de la Mozilla Foundation (Firefox, Mozilla), contre 13, soit moitié moins, pour Internet Explorer. Si ces failles n'ont pas forcément été suivies d'une exploitation concrète, par un virus notamment, elles portent une menace réelle sur la sécurité du navigateur. La dernière d'entre elles, rendue publique le 8 septembre, portait sur une interprétation erronée des noms de domaines conduisant au plantage du navigateur. Jugée critique par le French Security Incident Response Team (FrSIRT), elle a contraint la Mozilla Foundation à publier dans l'urgence un correctif le lendemain. Un délai toutefois très bref, la moyenne des éditeurs étant 48 jours. Une mise à jour totale du logiciel, testée depuis vendredi, est attendue dans les prochains jours. Conséquence, le responsable de la recherche sur les menaces chez Symantec Europe estime qu'il ne faut plus conseiller le passage d'Internet Explorer à Firefox pour des seules raisons de sécurité. Or, il s'agit justement d'un des atouts majeurs du navigateur alternatif, qui lui a permis de dépasser en un an les 10% de parts de marché dans le monde.

Toutes applications confondues, 1862 vulnérabilités ont été découvertes ce semestre. Un record. Les trois quarts, selon Symantec, pourront être facilement exploitées. Et là, c'est la recherche du profit et le pillage d'informations qui ont la cote. Dans le top 50 des "programmes malins" de l'éditeur, 54% peuvent relayer du spam et 74% s'attaquent aux données confidentielles. Concrètement, 5,7 millions de courriels de phishing, qui tentent par exemple de détourner les coordonnées bancaires, ont été répertoriés sur la période, contre 3 millions sur le semestre précédent, tandis que le spam représente 61% du trafic mondial de courrier électronique. La démocratisation de nouvelles technologies, comme la voix sur IP, pourrait donner un nouveau souffle aux escrocs, avertit Symantec dans ses prévisions. Les spammeurs profiteraient ainsi des appels gratuits pour diffuser des publicités audio en boucle, alors que les escrocs espionneraient les appels pour récolter des données confidentielles ou se feraient passer pour des banques. Aussi, prévient l'éditeur, la VoIP pourrait-elle devenir un vecteur majeur d'attaques dans les dix-huit prochains mois.