Sécurité : Google Chrome, bouse un jour… bouse toujours

J’étais la semaine dernière dans une entreprise très à cheval sur les questions de sécurité informatique, où les informaticiens utilisaient Google Chrome, prenant le soin même de m’en vanter tous les mérites. Presque tous. En 2016, Google Chrome a encore mérité le prix de la plus grosse bouse des navigateurs.

Pouah, ça puire !

Sécurité : Google Chrome, bouse un jour... bouse toujoursComme vous connaissez ma totale impartialité quand il s’agit de Google Chrome, j’ai compté les vulnérabilités recensées par le site CVE Details. Et c’est tout simplement accablant : 158 vulnérabilités au total et 24 pour les plus critiques. A titre d’exemple, Firefox totalise 133 vulnérabilités, dont 13 critiques ! C’est presque deux fois moins. Safari, c’est 15 vulnérabilités critiques. Deux pour Opera !

Côté ANSSI et CERT-FR, la poubelle des navigateurs cumule en 2016 21 alertes, contre 12 alertes pour Firefox, Edge et Internet Explorer. Là-encore, c’est deux fois moins.

Sécurité  / Firefox Formateur Sécurité informatique Google Chrome Sécurité informatique 

Commentaires

J’ai connu ça cet été, petite boite d’informatique ou on jette des « HDD usagés » dans des containers/poubelles (là j’ai fais un carton en montrant comment récupérer des infos sur un HDD soit disant hs) ou 90% du personnel utilise cette m.. de Chrome (secrétaires/informaticiens, presque tous…)Je ne comprends pas l’engouement pour ce Spy géant, qui plus est de la part d’informaticiens avec un bagage beaucoup plus conséquent que le mien…

Bonjour
Ce post me conforte dans ma vision (sans compétence) au sujet de Chrome que j’ai vite supprimé après un test.
Pour tout dire, « je ne le sentais pas ».
Je le déconseille à mes correspondants (Teamviewer) et je le supprime, avec leur accord.
Depuis quelques mois, j’ai opté pour Opera que je trouve très bon et votre article me rassure dans mon choix. Je garde tout de même Firefox qui reste très complet.
Bien cordialement.

@antra

Firefox pêche sur la vitesse de rechargement des pages ! Et je ne comprends pas pourquoi.

@Jean

Pour les utilisateurs, passe. Mais pour les informaticiens, là, je ne comprendrai jamais ! A ce niveau, c’est pas une erreur. C’est une faute.

@antra
Je te conseille plutôt Vivaldi alors si tu es fan d’Opéra, leur « éthique » me semble meilleur (Une « End User License Agreement » (EULA) est consultable sur le programme ici : https://tldrlegal.com/license/vivaldi-browser-eula )les réglages/Maj/extensions etc. sont plus nombreuses aussi.
@Denis,
Je partage, le nombre de fois ou je suis catalogué de parano pfff..

Bonjour Denis,

La paranoïa est quelquefois la seule maladie utile pour de pas être victime d’un pillage de données. C’est l’arbre qui cache la forêt avec Chrome qui cache Goggle. Je l’ai supprimé ce matin d’un poste en expliquant les dangers de ce navigateur. Les gens ont quand même du mal à se défaire du second.

Chacun fait ce su’il veut, celà s’appelle le libre arbitre. Il ne faut jamais se fier aux apparences. A priori, les gens le font sans se soucier des risques encourus. Après, ils se rendront compte de l’intrusion de ceux ci dans leur vie de tout les jours.

Cordialement.

Olivier

@Denis
Firefox me semble dopé depuis que j’ai appliqué votre post concernant prefs.js !!

@Jean
Merci pour le tuyau…j’ai aussi Vivaldi sous le coude :-)
Peut-être qu’un jour je le placerai en premier…
Pour le moment c’est Opera, Firefox et Vivaldi
Pour XP, il semble que Vivaldi soit le plus léger.

Il existe aussi Qwant ou sinon Brave par contre je ne connais pas leur niveau de sécurité

Euh, comment sortir des chiffres sans comprendre leur signification …

Les 21 bulletins d’alertes de CERT-FR correspondent à des notes concernant des mises à jour de navigateur. Cela signifie simplement que Chrome est plus souvent mis à jour que les autres navigateurs.

C’est pareil pour CVE detail, cela ne liste que des vulnérabilités qui ont été réglées (heureusement, au passage).

Grâce aux bug bounty existants, de nombreux chercheurs en sécurité trouvent les vulnérabilités et elles sont réglées avant d’êtres exploitées. Il vaut mieux un navigateur souvent scruté et corrigé, qu’un navigateur peu mis à jour où les vulnérabilités ne sont pas corrigées.

Les seules retenues sur Chrome notées par l’ANSSI concernent la vie privée pour certaines fonctionnalités et sont présentes dans ce doc : https://www.ssi.gouv.fr/uploads/2014/05/NP_Chrome_NoteTech_v1.1.pdf

Il suffit d’utiliser Chromium ou un autre navigateur basé sur Chrome (Vivaldi a été cité dans les commentaires) si on est parano sur le sujet. L’inconvénient est que les mises à jour de sécurité sont moins fréquentes.

@Henji

Ce sont des niveaux de criticité qui s’appliquent à Chrome comme aux autres navigateurs. Les bases de comparaison sont les mêmes pour tous. Admettez-le : Google Chrome est une grosse bouse et c’est tout ! ;+)

NB Je suppose qu’hélas, vous êtes un utilisateur de cette bouse.

Non, Vivaldi est mon navigateur principal. J’utilise Chrome juste pour du test lors de développement logiciel sans plus que ça. J’utilise Firefox les rares fois où j’ai besoin de Flash.

Ce qui me semble plus grave sur CVE Details est le nombre de failles exploitées de Firefox (18) ou de Internet Explorer (13) vs celui de Chrome (10).

Et j’ai surtout commenté car je trouve grave de conseiller Internet Explorer/Edge (bouse tellement monstrueuse qu’ils ont changé le nom). Ce navigateur ne devrait être utilisé que pour en télécharger en autre sur un pc fraîchement installé.

@Henji

Je n’ai rien conseillé, sachant que je n’utilise exclusivement que Firefox.

« A quoi sert IE / Edge ? A télécharger Firefox. » ;+)

Je ne suis pas du tout d’accord avec l’analyse, sur 2016 chrome n’a eu que 2 vulnérabilités permettant l’exécution de code distant (et 31 overflow) [1], contre 53 pour firefox (et 51 overflow) [2].

Ce n’est pas parce qu’on trouve peu de vulnérabilités sur un navigateur qu’il n’y en a pas, au contraire, c’est que les moyens ne sont pas mis pour les trouver. Après tout, les attaquants visent toujours le poids lourd (en l’occurence, chrome avec ses 63% de part de marché à comparer avec les 15% de firefox [3]).

Firefox n’est même plus inclus dans le concours pown2own [4] « because it’s too easy »

Sources:

[1] http://www.cvedetails.com/product/15031/Google-Chrome.html?vendor_id=1224
[2] http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
[3] http://www.zdnet.fr/actualites/chiffres-cles-les-navigateurs-internet-39381322.htm
[4] https://it.slashdot.org/story/16/02/12/034206/pwn2own-2016-wont-attack-firefox-because-its-too-easy

@Flo

Les chiffres que j’ai données sont des données brutes. Que ce soit par l’ANSSI ou par le site CVE, tout va dans le même sens. Et vous retenez qu’une Seule catégorie d’attaques. Votre propos est très orienté et je suppose que vous êtes un utilisateur de Chrome !

@Flo : « chrome avec ses 63% de part de marché à comparer avec les 15% de firefox »…
Avoir la majorité de donne aucunement raison, l’histoire en est rempli, La majorité a toujours raison ? mais la raison a bien rarement la majorité hélas…
Ce n’est en aucun cas un argument positif en faveur de ce « navigateur » bien au contraire, les moutons de Panurge existent encore, les mal informés aussi, ceux qui n’ont rien à se reprocher etc. par contre regarder le profil des utilisateurs de Firefox, un peu plus soucieux de leur vie privée pour ne parler que de cela..

@Jean et Flo

Chrome est à 51%, toutes plates-formes confondues !
-> https://fr.wikipedia.org/wiki/Parts_de_march%C3%A9_des_navigateurs_web#Tableau_r.C3.A9capitulatif

51% ?! chacun y va de son chiffre apparemment,ça reste énorme de toute façon, du boulot pour convaincre..bonnes fêtes à tous !

Laisser un commentaire

(requis)

(requis)