Google a-t-il manipulé une étude de sécurité pour couler Firefox ?

La semaine dernière, Accuvant Labs publiait une étude financée par Google mettant fortement en doute la sécurité de Firefox. Mais des experts indépendants critiquent aujourd’hui fortement la méthodologie et les résultats de cette étude sur les navigateurs.

guerre-économique-levée-de-fonds-opa-rachat

En début de semaine dernière, les chercheurs en sécurité IT d’Accuvant Labs publiaient une étude sur la sécurité des navigateurs Web. Leur méthodologie et leur indépendance est maintenant mise en cause par des experts externes.

Cette étude a été commandée et payée par Google, qui édite justement Chrome, l’un des trois butineurs mis au banc d’essai. C’est d’ailleurs celui qui est le grand vainqueur de ces tests.

Firefox était lui mis au ban des navigateurs, et devait, selon Accuvant, porter le fardeau de quatre portes grandes ouvertes aux malwares et hackers de tout genre.

Les experts d’un autre laboratoire de recherche, NSS Labs, ont été contactés par leurs propres clients après la publication de ces résultats. Ils voulant savoir s’il était encore sûr d’utiliser le navigateur de la Fondation Mozilla en entreprise.

L’entreprise indépendante s’est du coup penchée sur les résultats commandés par Google. Leurs trouvailles ont été publiées dans un papier (PDF) intitulé « La guerre des navigateurs prend un sale tournant« . Ambiance.

Ils soulignent pour commencer le timing parfait de cette publication, alors que les négociations entre Google et la Fondation Mozilla sur le financement de la Fondation sont au point mort.

Google fournit 84% des revenus de l’éditeur de Firefox et de Thunderbird par un accord voyant Google devenir le moteur de recherche par défaut du navigateur au renard de feu. Cet accord a expiré sans être renouvelé le 30 novembre, menaçant la fondation de mort financière.

Plus troublant, les grotesques erreurs de méthodologie d’Accuvant Labs :

« L’analyse du JIT hardening (mitigation des failles Javascript) échoue à reconnaitre les efforts d’implémentation de technologies très pro-actives de Microsoft dans IE9, qui sont absents de Chrome, » donnent comme exemple les chercheurs indépendants.

Pire, « Accuvant a désactivé des portions très importantes des protections des navigateurs autres que celui de Google, sans préciser l’impact de ce choix sur les résultats finaux. »

Par exemple, certains navigateurs ne bloquent les malwares que pendant les phases de téléchargement, et avant leur exécution.

« Cette erreur dans les tests a pour conséquence de conclure à tord à de mauvaises capacité de protection de ces navigateurs. »

La conclusion de NSS Labs : « Soit Accuvant a été laxiste dans ses méthodologies, soit Google – qui finance le projet – a exercé une influence indue sur la production de cette méthodologie pour son propre avantage. »

C’est déjà arrivé, et c’est pour ça que NSS Labs refuserait maintenant ce genre de commandes ont assuré les chercheurs à Computerworld.

Mais le blog de Sophos Naked Security, qui a relayé ces conclusions, souligne qu’il ne faut pas pour autant renier toutes les études financées par une partie prenante. Mais il faut les prendre avec prudence.

NSS Labs lance un dernier scud en direction de la firme de Mountain View : Google a arrêté en novembre dernier de partager ses propres progrès en matière de sécurité avec ses concurrents, en particulier la très efficace « protection par la réputation. »

Cette innovation a permis au navigateur open source Chrome de passer de 8% de succès contre les malwares à 40% de succès en moins de 10 jours, selon les études de NSS.

Un succès qui n’est du coup pas partagé avec le logiciel libre Firefox, juste au moment de la fin du contrat Google/Mozilla et de la publication de ce rapport à la méthodologie biaisée, soulignent les chercheurs – très remontés – de NSS Labs.

 

Logo : © egeneralk – Fotolia.com

Derniers commentaires



0 replies to Google a-t-il manipulé une étude de sécurité pour couler Firefox ?

Laisser un commentaire

  • Les champs obligatoires sont indiqués avec *,
    Votre adresse de messagerie ne sera pas publiée.

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

18:44:48