Dans son récent rapport, Secunia, qui recense les vulnérabilités dans les systèmes d’exploitation et les logiciels indique que Firefox aurait été le navigateur le plus vulnérable en 2008.

Voici les chiffres:

Il convient cependant de préciser que ces chiffres sont plutôt bruts de fonderie. Pas de différenciation en ce qui concerne la dangerosité des vulnérabilités. Et bien sûr rien en ce qui concerne des failles éventuellement corrigées en interne par les éditeurs de navigateurs, sans que le public n'en soit averti.
A l'opposé, le rapport publie aussi le nombre de vulnérabilité par plugin

Comme on le voit, ActiveX (donc Internet Explorer) arrive cette fois largement en tête. Et encore... peut être aurait-il été plus juste de dire qu'ActiveX est une faille en tant que tel :)

A y bien regarder, ce rapport donne l'impression de pénaliser Firefox, à cause de la politique de transparence de la fondation Mozilla. En tout cas, il fait grincer des dents, en tête celles de Lucas Adamski, directeur de la sécurité chez Mozilla, qui s'est empressé de répondre sur son blog. Lucas de préciser: "Mozilla publie des bulletins de sécurité pour tous les problèmes corrigés dans Firefox, peut importe la façon dont celles-ci ont été découvertes. Contrairement à d'autres éditeurs qui ne publient que les problèmes découverts par des tiers et non ceux découverts en interne"

D'un autre côté le rapport montre que la fenêtre d'exposition aux failles est souvent grande ouverte chez Microsoft où l'on voit qu'il faut parfois jusqu'à 110 jours pour qu'une vulnérabilité critique soit patchée. "La porte ouverte à toutes les fenêtres" comme dirait Coluche. La fondation Mozilla est quant à elle bien plus réactive, comme en témoigne par exemple la sortie de Firefox 3.0.8

Les choses ne sont donc pas aussi simples que l'impression que donne le rapport Secunia à la première lecture.