40% des internautes utilisent un navigateur à risque

Des chercheurs en sécurité révèlent que seuls 60% des internautes utilisent un navigateur à jour. Les utilisateurs de Firefox seraient les plus rigoureux. Ceux d'Internet Explorer seraient en revanche plus laxistes.

Avec une menace qui s'est déplacée progressivement de la messagerie vers les sites Web, et qui cible donc désormais les navigateurs, les habitudes et les pratiques des internautes à l'égard de ces derniers sont devenues capitales. Confrontés de plus en plus à des pages Web malveillantes, exploitant par exemple une faille dans le navigateur, les internautes sont en effet plus exposés désormais. La sécurité, ou du moins la robustesse, du navigateur est donc un critère majeur.

Des chercheurs de l'ETH de Zurick (Computer Engineering and Networks Laboratory), de Google et d'IBM Internet Security Systems se sont par conséquent penchés sur la sécurité des navigateurs Web, et plus précisément les pratiques des internautes en matière de mise à jour. Première conclusion de ce rapport basé sur l'analyse de logs de serveurs Web : plus de 600 millions d'internautes n'utilisent pas la version la plus sécurisée de leur navigateur.

Sur 1,408 milliard d'internautes dans le monde, ce sont seulement 59,1% d'entre eux qui disposent pour leur activité sur Internet d'un navigateur à jour. Une habitude qualifiée par l'étude de comportement à risque compte tenu de la nature actuelle de la menace informatique. Les utilisateurs d'Internet Explorer 7 seraient les moins rigoureux en termes de mise à jour de leur application.

D'après l'étude, ils ne sont que 52,5% d'utilisateurs du navigateur de Microsoft à surfer via la version la plus sécurisée de celui-ci, c'est-à-dire à jour au niveau des correctifs. A l'inverse, toujours durant la première semaine de juin, les plus appliqués étaient les adeptes de Firefox 2 avec un taux de navigateurs à jour de 92,2%. Viennent ensuite Opera 9 (90,1%) et Safari 3 (70,2%). Ces parts diminuent toutefois lors de l'étude des migrations sur une période s'étirant de janvier 2007 à juin 2008.   

 

Ainsi, sur un cycle plus long, ce sont respectivement 83,3% des utilisateurs de Firefox, 65,3% de Safari, 56,1% d'Opera et 47,6% d'Internet Explorer qui disposent d'une version à jour. Les chercheurs jugent le processus de migration généralement lent, hormis pour Safari 3 vers lequel plus de 60% des utilisateurs de Safari avaient migré dans les trois mois qui ont suivi sa sortie. Cette mise à jour accélérée pourrait selon l'étude s'expliquer par la procédure (décriée) automatique intégrée à d'autres logiciels (dont iTunes) décidée par Apple.

Mais outre le navigateur, les plugins exploités par ceux-ci présentent également un risque pour l'utilisateur. Leur mise à jour est donc elle aussi un élément critique à prendre en compte, les attaques Web tirant notamment partie des vulnérabilités des plugins comme QuickTime ou Adobe Flash. Les internautes disposent de plus souvent de plusieurs plugins intégrés à leur navigateur, ce qui élargit la surface d'attaque.

L'étude considère ainsi que Flash Player est installé sur 98,8% des navigateurs. Ce dernier est en outre supporté par l'ensemble des logiciels de navigation. Viennent ensuite Java (84%), Acrobat PDF Reader (>80%), Media Player (82,2%), QuickTime Player (66,8%), ou encore Shockware Player (55,6%). Si les internautes doivent se montrent vigilants à l'égard de la sécurité du navigateur lui-même, ils ne doivent pas non plus négliger celle des plugins embarqués.

Afin de réduire l'exposition au risque des internautes, le rapport propose plusieurs solutions. D'abord l'intégration de mécanismes de mise à jour automatique, un processus automatisé déjà en vigueur dans Firefox. Les chercheurs s'étonnent toutefois qu'en dépit d'une mise à jour automatique d'Internet Explorer 6 vers la version 7, la migration vers cette dernière n'ait pas été plus massive. Ce phénomène pourrait s'expliquer par l'adhérence avec le système d'exploitation, la mise à jour d'Internet Explorer étant poussée depuis une fonctionnalité de l'OS, et non indépendamment, comme pour Firefox.

Autres solutions : les chercheurs rappellent l'intérêt des solutions de filtrage d'URL qui permettent de prévenir la connexion à un site identifié comme hébergeant des programmes malveillants. Firefox propose d'ailleurs désormais à la fois des fonctionnalités d'anti-phishing et d'anti-malware contre ces menaces.

Enfin le rapport se dit favorable à plus d'information des utilisateurs, au travers notamment de la mention directement dans le navigateur de la date de dernière mise à jour, l'équivalent en quelque sorte d'une date de préemption.