n coup de gueule a été publié hier sur LinuxFR. L'auteur, développeur WebGL chez Mozilla, s'en prend aux "soi-disant experts en sécurité" qui disent Firefox vulnérable parce que n'implémentant pas de mécanismes de sandboxing et "se ridiculisent en répétant, sans distance critique, le marketing d'une entreprise".
On pourra discuter à loisir du fond du discours, force est de constater qu'il ne suffit pas de sortir une sandbox pour prétendre assurer la sécurité de ses produits, pas plus qu'on ne peut prétendre résoudre tous les problèmes de cette manière. Ce coup de gueule fait donc sens, il est juste dommage qu'il tomber dans l'exact même travers qu'il reproche aux autres...
Parce que quand je lis des choses comme ça, je suis pensif :
Cependant, en pratique, pour autant que je sache, nous n'avons jamais vu d'exploitation de ces bugs, et pour de bonnes raisons : d'abord, une majorité de ces bugs n'est probablement pas réellement exploitable, à plus forte raison avec l'ASLR et la DEP. Mais surtout, ces bugs ont toujours été faciles à corriger, donc ils ont simplement été corrigés avant d'avoir pu être largement exploités.
En dehors du fait que des failles qualifiées de non exploitables par l'éditeur se révèlent parfois exploitables dans les faits, je trouve qu'en appeler à ALSR et DEP[1] est un peu léger. Surtout quand on se permet de lancer plus haut :
La sécurité des navigateurs est un sujet trop vaste pour qu'une ou deux techniques en particulier puissent faire une grande différence au total.
Et en particulier que la disponibilité d'ASLR et DEP n'ont pas empêché certains plugins de se faire continuellement exploiter "in the wild"...
Bref, tout ça pour dire que si chez Mozilla vous jugez plus pertinent d'attaquer le sujet de la sécurité de Firefox autrement qu'avec une sandbox, soit. Que si vos développeurs ressentent le besoin de défendre la pertinence de leurs choix devant des analyses biaisées, soit encore. Mais de grâce, épargnez-nous la mauvaise foi que vous reprochez aux autres...
Notes
[1] Mécanismes dont je ne nie cependant pas l'importance.