Utiliser Firefox en entreprise est-ce risqué ?
Cet article a été publié il y a 15 ans 4 mois 7 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.
Une étude réalisée par Bit9 fait la une des médias informatique en ce moment et nous présente le classement des 12 applications qu’il est le plus dangereux de déployer en entreprise. En tête de liste vient le navigateur Firefox.
Firefox a doublé sa part de marché dans les entreprises en un an. Il atteint aujourd’hui le chiffre de 18% de part de marché d’après le cabinet Forester. Que reproche donc cette étude à Firefox et quels sont les critères utilisés pour réaliser ce classement ?
Pour qualifier une application de dangereuses celle-ci doit :
- Etre bien connu du Grand public et facilement installable,
- Ne pas être classée comme malveillante par les services informatiques des entreprises et les éditeurs de solution de sécurité,
- Contenir au moins une faille de sécurité détectée après le 1er janvier 2008,
- Laisser la responsabilité aux utilisateurs d’appliquer ou pas les correctifs de sécurité,
- Ne pas supporter de mécanismes de déploiement ou de mise à jour comme Microsoft SMS ou Windows Software Update Service.
Appliquons ces critères à Firefox.
- Vrai : Firefox est bien connu du grand public, cela ne fait aucun doute.
- Vrai : Firefox serait même recommandé pour se prémunir des sites web et autres programmes malveillants
- Vrai : Je n’ai pas vérifié, mais c’est sûrement le cas. Juste au passage, Internet explorer est actuellement affectée d’une faille « Zero-day ». C’est à dire que la faille a été exploitée le jour même de sa découverte. Microsoft prépare une rustine d’urgence. La prochaine diffusion de mise à jour n’était normalement pas prévues avant le 13 janvier. C’est une différence notable entre Mozilla qui publie un correctif selon les besoins et Microsoft qui ne le fait qu’une fois par mois. Je ne crois pas au navigateur sans faille, je crois plus à la vitesse de correction. Et dans ce domaine la communauté open source est en général plus réactive.
- Vrai : par défaut Firefox propose à l’utilisateur de mettre à jour le navigateur. Ce dernier a donc la possibilité de ne pas le faire.
- Vrai et faux : Il existe des solutions pour d’automatiser le déploiement et la mise à jour de Firefox pour un administrateur réseau qui veut s’en donner la peine. Concernant ce dernier point, je vous conseille d’aller jeter un coup d’oeil au site de FrontMotion qui met à disposition tout le nécessaire pour déployer Firefox à l’aide de Microsoft Active Directory.
Les arguments 1, 2, 3, 4 peuvent être largement appliqués à Internet Explorer. Bien entendu tout cela est fonction de la politique de sécurité mise en place et des moyens mis en œuvre pour la faire appliquer. Quand à l’argument 5 il ne tient guère.
C’est en fait tout un environnement qu’il faut considérer. Remplacer Internet Explorer par Firefox doit être dicté avant tout par un vrai besoin et pas par idéologie. Encore une fois c’est une question de stratégie.
Cependant le déploiement d’un autre navigateur en remplacement d’Internet Explorer dans des entreprises disposant d’un parc de plusieurs milliers de postes peut être jugé trop coûteux. En effet Internet Explorer est mis à jour par les mêmes outils que le système d’exploitation. La gestion d’un double système devient alors pénalisante.
Maintenant si l’on considère que Firefox apporte à l’utilisateur un meilleur confort, des fonctionnalités supplémentaires, un niveau de sécurité plus élevé, alors sa mise en place et sa maintenance ne relève plus que d’une classique problématique de déploiement.
Bonjour,
Très bonne analyse.
C’est intéressant car on s’aperçoit que l’utilisation d’une technologie tient parfois à peu de chose…
L’exemple de Firefox est intéressant car c’est un outils qui concrêtement équivaut sur bien des points à IE et le dépasse sur d’autres.
La stratégie de Microsoft continue ainsi a bien marché car en créant une dépendance entre ses différentes solutions (phénomène de captation), elle favorise l’utilisation de ses produits même dans les situations où elles ne sont les plus pertinentes.
Cette problématique se rencontre chaque jour en entreprise quand on travaille sur la migration open source, on est souvent bloqué par le choix d’une technologie, d’un éditeur.
C’est ici, où les entreprises devraient vraiment réfléchir en terme stratégique à l’impact de leurs choix car plus elles choisissent la facilité avec des solutions packagées et plus elles favorisent leur dépendance pour le futur envers ces éditeurs.
Mais cela aussi s’évalue: Ma dépendance vis-à-vis de ce fournisseur est-elle critique ou engendre-t-elle des risques stratégiques pour le futur ?
Parfois oui ou parfois non selon l’activité de l’entreprise. Deux situations proches peuvent aboutir à deux réalités différentes.
A bientôt,
Jonathan
Une question :
Je ne comprend pas vraiment la proposition N°2
« Pour qualifier une application de dangereuses celle-ci doit : » ….
« Ne pas être classée comme malveillante par les services informatiques des entreprises et les éditeurs de solution de sécurité, »
Il n’y a pas une contradiction là dedans ??? A la limite si on dit qu’une application dangereuse doit être classée comme malveillante par les service ….. ça tient debout. Mais dans ce cas quelle est la vraie reponse à cette proposition. Je n’ai pas de souvenir que firefox soit rangé dans les applications malveillantes..
Ou alors j’ai rien compris.
Merci pour vos lumieres.
Laurent.
@laurent : je pense que c’est un effet de la traduction… le rapport est en anglais à la base. En fait ce qu’il faut comprendre c’est que si l’application est connue et reconnue comme dangereuse par les services informatique et par les éditeurs de solutions de sécurité, des mesures de détection ou de blocage seront donc mises en place et empêcheront de fait l’utilisation du logiciel.
Prenons un exemple concret : emule le logiciel de téléchargement. Voila un logiciel connu et pisté par les services informatiques pour son caractère dangereux.
Firefox ne susciterait donc pas la méfiance des services informatique et des éditeurs de sécurité. Ce qui n’est guère étonnant compte-tenu que ce logiciel est tout de même relativement sécurisé. Donc on ne surveillerait, voir ne réprimerait pas l’installation de ce logiciel. A ce stade il faut quand même dire que si une entreprise a fait le choix de laisser la possibilité à ces utilisateurs d’installer des logiciels sur son poste de travail, il faut aussi en assumer les risques. En mettant en place une stratégie de sécurité ad’hoc il est possible de bloquer l’installation de logiciels facilement. C’est donc un faux critère.
Tout ça pour dire que cette étude est pour le moins « orienté ». Bit9 la société qui a réalisée l’étude affiche des logos Microsoft certified partner et Microsoft Windows enbeded partner.
Ok, donc la proposition 2 est fausse.
Desolé d’être un peu tatillon, mais pour ne pas qu’il y ai de confusion c’est mieux de preciser 😉
Sinon, en retour d’experience, dans notre entreprise (grand groupe) le seul navigateur authorisé etait ie. Jusqu’a ce que la DSI se rende compte que firefox etait largement utilisé sur les postes dont l’utilisateur à les droits admin. Du coup ils ont packagé un firefox avec un parametrage par defaut un peu plus securisé. Nottament avec l’impossibilité de garder les login/pass en memoire. De plus la plupart des sites intranet qui ne fonctionnaient que sous ie sont maintenant compatible avec les deux navigateurs.
Firefox n’est pas considéré comme une application dangeureuse et c’est tant mieux
Laurent
@laurent : pas de soucis 😉 ! Je préfère des interlocuteurs tatillons que pas d’interlocuteurs.
Merci également pour le retour d’expérience qui montre bien que tout est une question de mise en oeuvre et d’accompagnement des utilisateurs.
Question subsidiaire, quels étaient les arguments des utilisateurs qui ont fait « pliés » le DSI pour qu’il accompagne le déploiement de Firefox ? Car il semble qu’il ait fallu également adapter les application de l’intranet ce qui représente un coût certainement. Pour cela il a du falloir qu’ils aient des arguments solides non ?
En effet je suis tout à fait d’accord avec Philippe, de mon expérience un intranet Sharepoint 2.0 et 3.0 est comptabile avec firefox 3.x à 80%. Le gros problème d’un déploiement de firefox en entreprise n’est pas forcément lié directement à l’intranet mais souvent aux applications métiers tiers basées sur une interface web (Gestion du temp, ou comptabilité chez nous…). Donc même en déployant firefox, il cohabiterait avec IE par la force des choses, et je pense que Laurent pourra confirmer que c’est le cas chez lui.
Rappellez-vous !
que le format OOXML de MS a été validé par l’ISO en 2008. Il y a toujours la présence du VML pour les tracés vectoriels afin de garder une compatibilité descendante pour les vieux sites web et applications.
Il y a aussi le fameux tag META HTTP-EQUIV= »X-UA-Compatible » CONTENT= »IE=EmulateIE7″
en plus qui permet de d’imposer le mode de compatibilité désiré.
En ce qui concerne IE 8 vous pouvez toujours découvrir sa face cachée et surtout ce que l’on peut faire avec les langages propriétaires de MS depuis 1998 avec le HTML- JAVASCRIPT – VML – HTML+TIME – TDC.
Un petit rappel, PAGEDITOR PRO est un éditeur WYSIWYG vectoriel qui permet sans programmation de réaliser un site web de bonne facture pour 85% des internautes de la planète.
Voici la preuve sous IE en version 6-7-8 : http://www.plein-air-locations.fr
Encore une fois vous rêvez tous à un monde ou MS ne devrait ne plus réguler la planète !
sachez que l’on à mis 30 ans à assimiler le mot « Traitement de texte » à Word…
Patrick GUINBERTEAU
@Nitro : Si l’on parle de rêve, c’est le droit pour chacun d’utiliser les systèmes d’exploitation et les logiciels de son choix sans être « ennuyé » par des contraintes techniques volontairement imposées pour permettre la domination économique d’un acteur sur le marché. C’est en réaction à cela que Richard Stallman a lancé le concept de logiciel « ouvert ».
J’ai tenté d’aller voir les sites que vous indiquez. Inutilisable bien sur avec mon Firefox sous Ubuntu.
Vous donnez le contournement pour les utilisateurs de Firefox sous windows. Combien de ceux-ci feront l’effort d’installer IETab, de le configurer pour enfin accéder au site ?
Si je dois mettre en ligne un site commercial grand public, je ne peux pas me permettre de perdre les 15% d’utilisateurs qui n’utilise pas IE (c’est un minimum ! ). Votre approche me parait surprenante . Ce n’est économiquement pas raisonnable et ça n’a rien à voir avec la défense ou pas des standards ouvert et des logiciels open source.
Après pour répondre à des besoins spécifiques pourquoi pas, les utilisateurs sont clairement ciblés et seront préparés.
Bonjour,
pour ma part je dirai que le vrai danger de Firefox vient justement de tous ses plugins sympas mais qui ne demandent aucun droit particulier pour leur installation et sur lesquels « aucun audit sérieux n’est effectué… » (http://cert.lexsi.com/weblog/index.php/2009/01/06/272-mes-predictions-pour-2009). Je ne vois pas ce qui empêcherait des attaques -couplées avec du fishing sur sites bancaires par exemple- de type « Ce site nécessite l’installation d’un plugin pour être visionné, cliquez simplement sur le bouton installer… » et paf un petit malware (bien caché?!) s’installe sur votre ordinateur.
Même si comme il est dit plus haut il existe des moyens de sécuriser firefox sur tout un parc, je ne pense vraiment pas qu’ils soient mis en place dans la majorité des entreprises où celui-ci est présent, alors qu’avec IE dans un contexte classique Client Windows + AD, ça se fait les doigts dans le nez…
pour moi FF en entreprise doit rester une solution d’appoint comme lorsqu’un 0day circule est qu’il est vivement déconseillé d’utiliser IE.
mais bien sur ce n’est que mon avis, de pro MS^^
cordialement
@sim
Bonjour,
Le problème des Addon sur Firefox tel que vous le soulignez est intéressant.
Néanmoins, sachez que l’on peut restreindre les droits de l’utilisateur (que ce soit sous Firefox ou Thunderbird) ce qui empêche celui-ci d’accepter ou simplement d’être sollicité pour un nouveau composant (je l’i vu dans plusieurs entreprises).
Concernant les besoins spécifiques pour visionner un site, il suffit, comme dans le cas classique, de solliciter sa DSI pour avoir le plugin….
A bientôt,
Jonathan
@Sim : Relisez bien mon article j’y indique un lien vers un outils permettant d’utiliser Firefox conjointement à Active Directory. Il y a un module FrontMotion Firefox Community Edition qui permet de verrouiller les paramétrages de Firefox. Cependant, je n’ai pas mis en oeuvre cette solution, donc je resterais prudent. Mais bon cela montre bien que cette problématique a été prise en compte.
Oui oui j’ai bien vu ce lien, j’ai trouvé le produit très intéressant d’ailleurs, mon inquiétude porte surtout sur le manque d’application de solutions comme celle-ci. Il est vrai je pense, pour reprendre ce qui est dit plus haut, que comme FF est considéré comme « plus sécurisé par défaut » qu’IE, les administrateurs se concentrent moins sur cet élément. Petit exemple, à ma fac je ne peux même pas faire un clic droit sur mon bureau, les profils sont vérouillés et IE est totalement épuré, il ya des consoles de gestion à distance et AV,mais rien n’est fait pour Firefox alors que c’est le logiciel le plus utilisé par les étudiants!. Ça illustre bien le point numéro 2 il me semble.
Merci pour ce très bon article.