ÉTude: Navigateurs Web non corrigés prévalant sur Internet

Seuls 59,1% des utilisateurs utilisent des navigateurs Web mis à jour et entièrement patchés, ce qui expose le reste à des menaces croissantes de la part de hackers diligents, selon une nouvelle étude publiée par des chercheurs suisses.

L'étude, publiée mardi, est l'une des analyses les plus complètes des versions de navigateurs Web que les gens utilisent sur Internet. L'étude a été menée par des chercheurs de l'Institut fédéral suisse de technologie, Google et IBM Internet Security Services.

Les navigateurs Web sont souvent un maillon faible de la chaîne de sécurité, car les vulnérabilités logicielles peuvent faciliter le contrôle d'un pirate informatique. PC Lorsque cela se produit, les pirates peuvent effectuer des actes malveillants tels que le vol de données personnelles ou transformer des PC en drones spammeurs.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

les fournisseurs fournissent des correctifs pour les problèmes de sécurité, cela peut prendre des jours, des semaines ou des mois avant que les utilisateurs mettent à jour leurs applications. En attendant, ces utilisateurs sont en danger.

Mais ce n'est pas entièrement la faute des utilisateurs, car les vendeurs de navigateurs Web n'ont pas vraiment facilité les correctifs, a déclaré Stefan Frei, doctorant à l'institut, connu sous le nom de ETH Zurich et l'un des auteurs du rapport. Le navigateur Web est encore assez jeune et l'industrie doit encore se contenter d'une conception dominante et bien testée.

L'étude a examiné les données du journal de recherche et du serveur d'applications Web fournies par Google pour voir quelles versions de Les navigateurs de Firefox, Opera ou Safari utilisaient les gens, dit Frei

Internet Explorer de Microsoft, par contre, ne fait que dire aux serveurs Web quelle version majeure utilise une personne, comme IE 6 ou IE 7. Les chercheurs se fient aux données des gens Frei a déclaré que les utilisateurs de Firefox étaient les meilleurs à la mise à niveau: 83,3% utilisent la dernière version (la version la plus récente). étude juste regardé Firefox 2.0). Pour Safari d'Apple, 65,3% utilisent la dernière version; 56,1% pour Opera et 47,6% pour Internet Explorer de Microsoft.

Mozilla's Firefox est arrivé en tête grâce à sa fonction de mise à jour automatique, qui indique à l'utilisateur qu'un nouveau correctif est disponible et permet une mise à niveau en un clic. Dans les trois jours, la plupart des utilisateurs de Firefox sont à jour, selon l'étude.

Frei recommande à tous les navigateurs de mettre en place une mise à jour automatique car le processus est maintenant lourd et lent.

Il y a une nouvelle version, mais ils doivent aller sur le site Web d'Opera et suivre le même processus d'installation que s'ils avaient téléchargé le navigateur pour la première fois, dit Frei.

Safari utilise un programme de mise à jour externe mises à jour à certains intervalles. Les mises à jour de Microsoft sont distribuées le deuxième mardi du mois. Ces intervalles entre le moment où une vulnérabilité est divulguée publiquement et les correctifs d'une personne sont cruciaux, car ils constituent une fenêtre ouverte pour une attaque.

Le problème des correctifs laxistes incombe carrément aux fournisseurs d'applications - les utilisateurs souvent

Il préconise que les vendeurs de logiciels s'inspirent de l'industrie alimentaire et mettent une "date d'expiration" juste au-dessus du navigateur pour que les gens sachent que le navigateur Etat. Par exemple, un avertissement pourrait apparaître à côté de la barre d'adresse: "145 jours ont expiré, trois patchs sont manquants"

"C'est une suggestion non technique", a déclaré Frei. "Comment pouvez-vous attendre des gens qu'ils exécutent la mise à jour s'ils ne savent même pas? Nous pensons que c'est la même chose qu'une limitation de vitesse sur une autoroute."

Même les sociétés de moteurs de recherche comme Google pourraient afficher le même avertissement Les résultats de la recherche, car la version du navigateur est transmise à ses serveurs lorsque quelqu'un effectue une requête, a déclaré Frei.

Les sociétés de sécurité pourraient faire de la numérisation des applications une partie de leurs produits de consommation, ce qu'elles ont fait pour certains logiciels d'entreprise, dit Frei.

Mais le problème des navigateurs obsolètes n'est rien en comparaison du bourbier de la prise -ins, qui ajoutent des fonctionnalités supplémentaires au navigateur, telles que Adobe Flash et le programme multimédia QuickTime d'Apple.

En moyenne, les utilisateurs ont entre six et dix plug-ins, dont plusieurs proviennent de fournisseurs différents avec des programmes et des programmes de correction différents "Le navigateur est le pain, et même si le pain est bon, si le jambon est pourri, vous avez un problème", a déclaré Frei.

Une seule vulnérabilité logicielle dans un plug-in mettre le PC d'une personne en danger. Frei propose qu'une organisation telle qu'une équipe nationale d'intervention en cas d'urgence informatique crée un service permettant aux navigateurs de vérifier si elle possède la dernière version d'un plug-in.

Outre Frei, l'étude a également été menée par Thomas Dübendorfer de Google, Gunter Ollmann d'IBM Internet Security Systems et Martin May de l'ETH. L'étude sera présentée à la conférence sur la sécurité de Defcon le mois prochain à Las Vegas.