Navigateurs Web en entreprise : faire le bon choix et comparer ce qui est comparable ! [mise à jour 1 an après]

[Note préalable : cet article est une grosse mise à jour d'un article que j'ai écrit sur ce blog il y a un an]

Que vous travaillez dans l'informatique ou que vous soyez un "simple" utilisateur, vous êtes certainement au courant qu'une véritable guerre des navigateurs est en train d'avoir lieu depuis plusieurs années et s'intensifie depuis quelques mois avec la présence de nombreux acteurs (Microsoft, la fondation Mozilla, Google...)

Un des catalyseurs est certainement la décision de la cours européenne ayant pour conséquence la mise en place d'un "écran de choix" (ballot screen) permettant à chaque utilisateur de Windows de choisir le navigateur qu'il souhaite utiliser.

On comprend du coup pourquoi certaines sociétés investissent massivement dans la publicité pour faire connaitre leur navigateur auprès du grand public.

A l'échelle individuelle et domestique, ce choix n'a pas d'impact fort vis à vis de l'utilisateur qui peut choisir et assumer le changement et les conséquences associées (petite réadaptation en cas de choix d'un nouveau navigateur, prise en main de la nouvelle interface, "formation" du reste de la famille, vérification que les sites habituellement consultés fonctionnent bien...)

A l'échelle d'une entreprise, le problème est un peu plus complexe et le choix de basculer d'un navigateur X vers un navigateur Y (ou d'ajouter de nouveaux navigateurs, ou de migrer d'une version A vers une version B) doit être fait à l'échelle globale est non individuelle; ceci pour des raisons assez évidentes :

- L'utilisateur standard en entreprise n'est généralement pas administrateur de son poste de travail. Aussi, il ne dispose pas des privilèges nécessaires pour installer ou mettre à jour son navigateur (à l'exception de Google Chrome qui peut s'installer avec des privilèges standards dans le profil de l'utilisateur)

- Le déploiement d'un nouveau navigateur implique, comme pour un changement de Système d'Exploitation (ex: migration de Windows XP vers Windows 7), un travail préalable de qualification de l'ensemble des applications et services utilisés dans l'entreprise. Comme tout projet de migration, il va donc y avoir un ensemble de phases : qualification, tests, pilote, déploiement & coexistence durant le déploiement et support. L'ensemble des développements en cours d'applications accessibles via un navigateur devront être modifiés afin d'intégrer les tests fonctionnels et de compatibilité avec le nouveau navigateur (ou la nouvelle version).

- Le navigateur comme les autres éléments du Poste de Travail doit être administrable et configurable de manière centralisée (sauf peut-être dans le cas d'une TPE avec moins d'une quinzaine de postes). L'administrateur doit pouvoir facilement définir tel ou tel paramètre et l'appliquer simplement sur les postes, utilisateurs ou groupes ciblés

- Le maintien à jour du navigateur en terme de mises à jour de sécurité est également un point fondamental en entreprise car si cette tâche n'est pas réalisée, le navigateur peut devenir très rapidement un vecteur de menaces (codes malveillants, vol d'informations...) pour le Système d'Information (et donc l'ensemble de l'activité de l'entreprise)

- Démultiplier les navigateurs utilisés dans un parc informatique implique mécaniquement des coûts supplémentaires :

  • Qualification de l'intégration du navigateur au sein du Système d'Information (authentification intégrée, support des autorités de certifications internes...)
  • Qualification du navigateur avec les applications métiers existantes
  • Adaptation des applications existantes pour le support de plusieurs navigateurs
  • Nouveaux tests fonctionnels lors des développements internes (ou externalisés)
  • Formation des utilisateurs finaux
  • Formation des équipes de support 1er niveau
  • Gestion des mises à jour pour le(les) nouveau(x) navigateur(s)
  • Gestion des mises à jour pour les add-ons du(des) nouveau(x) navigateur(s)

Après avoir participé à des discussions sur le sujet avec de nombreux clients qui s'interrogent sur le choix de conserver Internet Explorer ou de migrer vers un autre navigateur, j'aimerais partager plusieurs points sur lesquels mythes et réalité se mélangent.

Je vais me focaliser dans la suite de cet article sur les 3 navigateurs les plus utilisés aujourd'hui (source : http://www.netmarketshare.com/browser-market-share.aspx?qprid=1&sample=15)

  • Internet Explorer (56,77% de part du marché mondial en mars 2011)
  • Firefox (21,74% de part du marché mondial en mars 2011)
  • Google Chrome (10,93% de part du marché mondial en mars 2011)

Pour ces 3 navigateurs, je vais reprendre les points cités ci-dessus concernant les éléments clés en entreprise et essayer de donner leurs points forts ou faiblesses en entreprise.

Si vous souhaitez réagir / compléter ou corriger certains points, vous pouvez me contacter en cliquant ici. Je mettrai à jour ce billet sous réserve que vos arguments ne relèvent pas du commentaire “trollesque” ou de la “Fanboy attitude” :-)

_______________

Tout d'abord un peu d'histoire afin de comparer ce qui est comparable.

Trop souvent, en termes de sécurité ou de fonctionnalités on me compare IE 6 aux dernières versions de Firefox (3.0.x ou 3.5). C'est un peu comme comparer une Renault 5 à une Peugeot 208. Internet Explorer 6 a été conçu il y a 10 ans et est sorti en 2001; Firefox 3.0.x est disponible depuis le 17 juin 2008 soit prêt de 7 ans après ce qui a l'échelle des technologies de l'information est simplement énorme.

Donc commençons avec l'historique de nos 3 navigateurs :

Cliquer sur l image pour avoir la version haute résolution

Et pour être plus précis sur les dates :

  • Internet Explorer 6 : octobre 2001

  • Firefox 1.0.x : 9 novembre 2004

  • Firefox 1.5.x : 30 novembre 2005

  • Internet Explorer 6 SP2 : aout 2006

  • Internet Explorer 7 : 19 octobre 2006

  • Firefox 2.0.x : 24 octobre 2006

  • Firefox 3.0.x : 17 juin 2008

  • Internet Explorer 8 : 19 mars 2009

  • Google Chrome 2.0 : 21 mai 2009

  • Firefox 3.5.x : 30 juin 2009

  • Google Chrome 3.0 : 15 septembre 2009

  • Firefox 3.6.x : 21 janvier 2010

  • Google Chrome 4.0 : 25 janvier 2010

  • Google Chrome 5.0 : 26 mai 2010

  • Google Chrome 6.0 : 2 septembre 2010

  • Google Chrome 7.0 : 19 septembre 2010

  • Google Chrome 8.0 : 3 décembre 2010

  • Google Chrome 9.0 : 3 février 2011

  • Google Chrome 10 : 9 mars 2011

  • Internet Explorer 9 : 14 mars 2011

Donc en terme de comparaison des fonctions, si on prend les navigateurs par période, il est possible (et plus équitable) de comparer :

  • IE 6 avec Firefox 1.0.x
  • IE 7 avec Firefox 2.0.x
  • IE 8 avec Firefox 3.5.x et/ou Google Chrome 2.0 voire 3.0
  • Firefox 3.6.x avec Google Chrome 4.0
  • IE 9 avec Firefox 4.0 et/ou Google Chrome 10

————————————————————-

Installation & Déploiement en entreprise

Installation d'un navigateur : principes généraux

A la maison, l'installation d'un navigateur est fait à l'initiative de l'utilisateur (propriétaire) du poste de travail. Nous sommes tous administrateurs de nos machines personnelles et donc la recherche des packages ainsi que l'installation d'un navigateur sont relativement aisés. Au passage, chaque navigateur propose lors de son installation de devenir le navigateur par défaut pour surfer sur Internet ainsi que des fonctions d'importation des favoris de l'ancien navigateur.

En entreprise, l'installation ou la mise à jour d'un navigateur peut être réalisée dans 2 cas possibles :

- Lors de la création d'un master (image standardisée) du Poste de Travail. Master qui sera appliqué sur les nouveaux postes.
- Au travers d'un package d'installation automatisée distribué via des outils télédistribution (ex: SCCM...) ou via des scripts
- Plus rarement : à l'initiative de l'utilisateur final (sous réserve qu'il dispose des privilèges nécessaires)

Note : Internet Explorer et Firefox nécessitent des droits administrateur pour être installés sur un poste de travail Windows. Google Chrome peut s'installer avec les privilèges standards de l'utilisateur (les binaires sont copiés dans le profil de l'utilisateur) mais générera une erreur si l'utilisateur veut le définir comme navigateur par défaut.

Package d'installation

Un package d'installation intègre le paramétrage complet du navigateur mais aussi de manière optionnelle, l'intégration de composants tiers (plug-ins...). Le package d'installation est le plus souvent utilisé en entreprise pour effectuer des installations automatisées (sans intervention de l'utilisateur final) de produits.

Le format standardisé et le plus utilisé en terme de package sous Windows est le format .MSI (format utilisable par la majorité des systèmes de télédistribution, utilisable également pour déployer via les stratégies de groupes AD)

-> Package d'installation avec Internet Explorer

Depuis Internet Explorer 4.0, Microsoft met à disposition de ses clients, un outil baptisé IEAK (Internet Explorer Administration Kit) qui permet de créer simplement au travers d'un assistant un package personnalisé .MSI ou .exe pour le navigateur.

Plus d'informations sur l'IEAK :
http://blogs.msdn.com/iefrance/archive/2009/11/12/d-ploiement-d-internet-explorer-8-0-dans-l-entreprise-partie-3.aspx

-> Package d'installation avec Firefox

La fondation Mozilla ne fournit pas d'outil de création de package d’installation. Historiquement, un produit baptisé Firefox Client Customization Kit (CCK) existait pour les versions 1.5 et 2.0. Le produit est désormais devenu une extension (cf. https://addons.mozilla.org/en-US/firefox/addon/cck/

Informations complémentaires sur le CCK :
http://www.mozilla.org/projects/cck/firefox/

La fondation Mozilla ne fournit pas non plus de package au format .MSI
Certains sociétés tierces proposent donc (et facturent), la création de packages au format MSI (ex: FrontMotion http://www.frontmotion.com/Firefox/). Packages qui doivent être renouvelés à chaque mise à jour (pour la télédistribution des mises à jour si l'utilisateur final n'est pas administrateur de son poste)

Informations complémentaires
Bug 231062 - (MSI) Provide Firefox MSI package
https://bugzilla.mozilla.org/show_bug.cgi?id=231062

L'installation automatisée de Firefox peut donc passer par l'exécution d'une ligne de commande dans un script (sous réserve d'être exécutée avec des privilèges administrateur)

Informations complémentaires :
https://wiki.mozilla.org/Installer:Command_Line_Arguments

-> Package d'installation avec Google Chrome

Par défaut, l'installation de Google Chrome passe par le téléchargement d'un lanceur (petit programme) qui une fois exécuté va télécharger le reste des binaires. Il est également possible de télécharger un .exe contenant l'ensemble des binaires nécessaire à l'installation et depuis quelques mois, une version packagée MSI est également disponible

En terme de personnalisation, Google ne fournit pas aujourd'hui de documentation précise sur la personnalisation du package original.

Informations complémentaires :
http://code.google.com/p/chromium/issues/detail?id=22733

 

Déploiement

le déploiement automatisé permet de distribuer le package du navigateur sur le réseau d’entreprise à partir d'un emplacement central, en choisissant le groupe d'ordinateurs ou d’utilisateurs pour lesquels l'administrateur souhaite installer le package et les dates et heures de l'installation.

Cette flexibilité permet d’éviter l'encombrement du réseau et de s'assurer que le déploiement se produise sans gêner les utilisateurs et après qu’ils aient eu suffisamment de temps pour recevoir une formation.

-> Déploiement d'Internet Explorer

Internet Explorer 8.0/9.0 peut être déployé en entreprise avec les méthodes suivantes :

– Windows Update *
– Windows Server Update Services (WSUS) *
– Microsoft System Center Configuration Manager (SCCM) 2007
– Microsoft Systems Management Server (SMS) 2003
– Un répertoire dans un partage réseau *
– CD, stockage amovible *
– Un lien Internet dans un courrier électronique ou une page Web *
– Via les stratégies de groupe Active Directory (en utilisant un package d'installation .msi) cf. http://support.microsoft.com/kb/816102
– Toute solution tierce de télédistribution

Note : certaines méthodes (celles marquées avec un astérisque) nécessitent une intervention manuelle de l'utilisateur. Dans un cadre de déploiement d’entreprise, il est préférable d’éviter toute intervention de l’utilisateur final dans le processus

Informations complémentaires :

Windows Server Update Services (gratuit) (http://go.microsoft.com/fwlink/?LinkID=71054) permet de déployer sur un ensemble d’ordinateurs les mises à jours disponible via Windows/Microsoft Update, en contrôlant à la fois les machines cibles et les mises à jours désirées et le déclenchement de l’installation.

Systems Management Server 2003 (http://go.microsoft.com/fwlink/?LinkId=83127) ou System Center Configuration Manager 2007 (SCCM) http://go.microsoft.com/fwlink/?LinkId=83127) qui permettent de déployer non seulement le package original mais aussi tout package personnalisé de IE 8 réalisé avec l’IEAK

Déployer Internet Explorer 8 dans l’entreprise à l'aide de SCCM 2007
http://blogs.msdn.com/iefrance/archive/2009/11/23/d-ployer-internet-explorer-8-dans-l-entreprise-l-aide-de-sccm-2007-part-1.aspx
http://blogs.msdn.com/iefrance/archive/2009/11/23/d-ployer-internet-explorer-8-dans-l-entreprise-l-aide-de-sccm-2007-part-2.aspx

-> Déploiement de Firefox

Le déploiement en entreprise de Firefox peut être effectué comme Internet Explorer via des outils de télédistribution (sous réserve que la solution supporte comme package distribuable un .exe avec les arguments en ligne de commande).

Un des rares outils de déploiement automatisé de Firefox en entreprise qui s'appelait FFDeploy n'est plus maintenu depuis le 6 février 2005

Informations complémentaires sur FFDeploy : http://firefox.dbltree.com/

Avec un package .MSI de Firefox (que vous devez créer ou acquérir à l'extérieur de la Fondation Mozilla), il est également possible de déployer Firefox via les GPO (même si c'est moins bien qu'avec un outil de télédistribution car il n'y a pas de reporting)

-> Déploiement de Google Chrome

Google Chrome existant désormais sous la forme d’un package MSI, il est distribuable via une solution de télédistribution

Attention à bien tester cependant car il va falloir cibler la distribution par utilisateur et non par machine (je le rappelle, les binaires de Google Chrome sont installés dans le profil de l'utilisateur).

Point important en entreprise pour ceux qui utilisent les profils errants et ont limité la taille des profils : les binaires sont dans le profil de l'utilisateur.

Autre point important : du fait de son installation dans le profil des utilisateurs, il n'est pas possible d'inclure Google Chrome dans les masters des systèmes d'exploitation appliqués sur les postes d'entreprise. L'installation doit être effectuée dans une phase postérieure au déploiement de l'image c'est à dire lorsque l'utilisateur reçoit son poste de travail et se connecte dessus.

Informations complémentaires : Google Chrome Installation and Updates (lire les commentaires)
http://blog.chromium.org/2009/01/google-chrome-installation-and-updates.html

———————————————————

Administration & configuration centralisée

Une fois que le navigateur est déployé (via installation standard ou déjà personnalisée comme vu ci-dessus), il faut que l'administrateur puisse avoir le contrôle complet de la configuration du navigateur sur les postes de travail de l'entreprise.

Le contrôle centralisée des configurations permet à l'administrateur des actions telles que :
- personnaliser la barre de titre, l'apparence du navigateur
- modifier le paramétrage du proxy à utiliser (utile lors des migrations de proxy ou en cas d'opération de maintenance)
- définir la(les) page(s) d'accueil par défaut
- griser ou interdire l'accès à certains paramètres ou options du navigateur
- Ajouter ou supprimer des favoris d'entreprise
- Autoriser ou bloquer des ActiveX
- Autoriser ou bloquer certaines fonctions (ex: navigation en mode privé...)
- personnaliser une fonction (ex: empêcher de poursuivre la navigation sur un site suspect identifié par le filtre anti-phishing...)
- etc...

-> Administration & configuration centralisée avec Internet Explorer

Historiquement, il est possible depuis Windows Server 2000 et Active Directory de gérer de manière centralisée la configuration d’Internet Explorer (de la version 5.0 à la 9.0). Au total, c’est aujourd’hui plus de 1200 objets de stratégies qui sont paramétrables via GPO pour Internet Explorer 8 (et plus de 1500 pour IE 9), que ce soit au niveau du poste de travail ou de l’utilisateur. Il est donc possible de maitriser 100% de la configuration d'IE via GPO.

Informations complémentaires :

-> Administration & configuration centralisée de Firefox

Le paramétrage de Firefox est principalement situé dans 2 fichiers qui sont donc éditables et diffusables (via scripts) :

http://kb.mozillazine.org/Prefs.js_file
http://kb.mozillazine.org/User.js_file
http://kb.mozillazine.org/About:config_entries

La fondation Mozilla ne fournit pas de mécanismes permettant de gérer Firefox via les stratégies de groupe Active Directory.

Cependant il existe des projets communautaires qui proposent des fichiers .ADM permettant d'utiliser les stratégies de groupes pour paramétrer (partiellement) Firefox.

Exemple : FirefoxADM version 0.5.9.3
http://sourceforge.net/project/shownotes.php?release_id=681274

Note : la dernière mise à jour date de mai 2008 et ne doit donc pas intégrer les nouveautés de Firefox 3.0.x et versions supérieures.

-> Administration & configuration centralisée de Google Chrome

Le paramétrage de Chrome n'est pas vraiment très bien documenté actuellement. Il est possible de paramétrer Chrome en utilisant des arguments dans la ligne de commande exécutant Chrome (cf. http://src.chromium.org/svn/trunk/src/chrome/common/chrome_switches.cc)

Une liste des arguments utilisables en ligne de commande pour exécuter Chrome est disponible aux adresses suivantes :
http://www.ericdlarson.com/misc/chrome_command_line_flags.html
http://www.waltercedric.com/component/content/article/261-google/1713-google-chrome-exhaustive-command-line-switches.html

Google commence désormais à fournir quelques informations pour paramétrer Chrome via les stratégies de groupe Active Directory.

Google Chrome Group Policy ADM Templates
http://www.google.com/support/forum/p/Chrome/thread?tid=4a5e8d605c723c03&hl=en

—————————————————————-

Sécurité & Gestion des mises à jour

Quel que soit le navigateur choisi pour l'entreprise, il est vital d'appliquer une gestion rigoureuse des mises à jour de sécurité, le navigateur étant une des portes d'entrée potentielle des menaces sur le poste de travail et donc sur le Système d'Information.

-> Mise à jour d'Internet Explorer

Les mises à jour d'Internet Explorer 8.0/9.0 sont téléchargées automatiquement depuis Microsoft Update via les mécanismes de Windows Update. Il est possible (et recommandé) de gérer les mises à jour de manière centralisée via Windows Update Server (qui est gratuit), System Center Configuration Manager ou Windows Intune ou toute autre solution de télédistribution.

La configuration des mécanismes de mise à jour de Windows Update est paramétrable entièrement via stratégie de groupe.

La mise en ligne des correctifs de sécurité de Microsoft est prédictible (les correctifs de sécurité sont distribués sur une base mensuelle, le deuxième mardi du mois hors correctif critique hors cycle) et permet ainsi aux administrateurs de planifier et réserver du temps à la gestion des correctifs (test, validation, déploiement et suivi).

-> Mise à jour de Firefox

Par défaut Firefox vérifie quotidiennement la présence de mises à jour. Une vérification est également fait au premier redémarrage après une mise à jour.

L'installation des mises à jour nécessite des privilèges administrateur et impose donc généralement en entreprise l'usage d'une solution de télédistribution (les utilisateurs standards ne disposant pas des droits nécessaires). En complément du navigateur et en cas d'usage de modules complémentaires, il faut également vérifier la mise à jour de ceux-ci.

Informations complémentaires : Software Update: Checking For Updates
https://wiki.mozilla.org/Software_Update:Checking_For_Updates

-> Mise à jour de Google Chrome

Google Chrome est maintenu à jour au travers de l'application Google Update qui est installée sur le poste et qui est l'équivalent pour les produits Google de l'agent Microsoft Update.

Le paramétrage du composant Google Update peut être effectué via Stratégie de groupe car Google a mis à disposition des administrateurs Active Directory un modèle d'administration (fichier .ADM)

Par défaut, Google Update vérifie toutes les 24h (pour être exact toutes les 23 heures et 20 minutes) la présence de mise à jour.

Informations complémentaire : Google Update for Enterprise
http://www.google.com/support/installer/bin/answer.py?hl=en&answer=146164

-----------

Autres points importants en entreprise

Au-delà de la personnalisation, du packaging, du déploiement, de la configuration centralisée et de la gestion des mises à jour du navigateur, il existe aussi certains points auxquels il faut prêter attention lors du choix du navigateur à utiliser en entreprise.

1- Gestion des autorités de certification interne / tierces

Le navigateur utilisé en entreprise doit pouvoir être configurable facilement pour ajouter et faire confiance à des autorités de certifications internes (PKI d'entreprise, PKI d'infrastructure...). Ainsi, l'utilisation de certificats "internes" à l'entreprise ne posera pas de problèmes (message d'avertissement sur la confiance dans le certificat présenté par un serveur intranet par exemple)

Internet Explorer utilise les magasins de certificats de Windows et ne nécessite pas de paramétrage particulier. La gestion des magasins de certificats de Windows est réalisable de manière centralisée via stratégies de groupe.

Firefox utilise son propre magasin de certificats qui est complétement indépendant de Windows.

La gestion de ce magasin nécessite la création de scripts et l'usage des outils fournit à l'adresse suivante :
http://www.mozilla.org/projects/security/pki/nss/tools/index.html

Note : le magasin de certificat de Firefox est propre à chaque profil utilisateur.

Google Chrome utilise comme Internet Explorer les magasins de certificats de Windows.

2– Support de l'authentification Windows Intégrée

En entreprise, la majorité des sites internes et applications intranet nécessite une authentification des utilisateurs pour des raisons évidentes de sécurité des accès et confidentialité des données.

Si les applications (ex: SharePoint...) sont hébergées sur des serveurs Web Windows, alors l'authentification utilisée est généralement basée sur les identifiants présents dans l'Active Directory et déjà utilisés par l'utilisateur pour se logguer sur son poste de travail Windows.

Historiquement, Windows supporte l'authentification intégrée et transparente pour les utilisateurs. Ainsi, un utilisateur déjà loggué sur son poste de travail peut aller par exemple sur un site Sharepoint sans avoir à ressaisir ses identifiants dans Internet Explorer. C'est Internet Explorer qui transmet automatiquement les crédentiels au serveur sans intervention de l'utilisateur.

Firefox et Google Chrome ne disposent pas de cette fonctionnalité et imposent donc à l'utilisateur de ressaisir son compte et mot de passe (attention donc au changement d'usage impactant directement les utilisateurs finaux).

Cette problématique d'authentification est également la même vis à vis des proxies authentifiant qui permettent l'accès au Web aux utilisateurs connectés au réseau de l'entreprise.

Notes complémentaires : quelques paramétrages côté poste client peuvent permettre d’améliorer la situation avec Firefox ou Chrome :

3– Support des ActiveX

De nombreuses applications d'entreprise (applications métiers ou progiciels) sont encore basées sur l'utilisation de contrôles ActiveX

ActiveX est pris en charge uniquement par Internet Explorer (et par les navigateurs conçus à partir d'Internet Explorer) sous Windows. Google Chrome, Firefox et les autres navigateurs ne prennent pas en charge ActiveX.

Note : pour ceux qui veulent verrouiller l’usage des ActiveX ou autres plug-ins, il est possible sous Internet Explorer 9 d’utiliser la nouvelle fonction ActiveX Filtering

 

4– Support de l’éditeur du navigateur Web

Là on touche un sujet très sensible pour les entreprises : la durée et le niveau de supportabilité du navigateur Web par son éditeur.

Le support d’un produit tel qu’un navigateur se définit par :

  • Une durée de vie connu et programmé du logiciel permettant lors du choix du produit de connaitre sa pérennité
  • La mise à disposition pour les clients Entreprise de correctifs fonctionnels (corrigeant un bug) durant la période de supportabilité du logiciel
  • La mise à disposition pour l’ensemble des clients de correctifs de sécurité (corrigeant des vulnérabilités découvertes par les équipes Microsoft ou des chercheurs externes) durant la période de supportabilité du logiciel
  • La capacité à contacter l’éditeur en direct en cas de problème (fonctionnel ou de sécurité)
  • La proximité géographique ou la capacité à dialoguer avec des ingénieurs support parlant par exemple le français

Les 3 acteurs majeurs ont des approches très disparates :

Microsoft :

De manière générale (tout produit), notre politique de support est définie sur http://support.microsoft.com/lifecycle/#tab0

Microsoft va supporter IE6 jusqu’à la fin du support étendu de Windows XP (c’est à dire l’été 2014), Internet Explorer 7 jusqu’à la fin du support étendu de Windows Vista, Internet Explorer 8 jusqu’à la fin du support étendu de Windows 7… Donc en terme de pérénnité, le choix d’Internet Explorer se justifie par la connaissance de la durée de vie d’une version donnée du navigateur.

La date de fin de support de chaque produit est visible ici : http://support.microsoft.com/gp/lifeselectindex

Le support Microsoft est joignable est disponible pour toute entreprise ayant acheté une licence Windows ou ayant un contrat de Support. Concernant Internet Explorer nous avons en France des ingénieurs Support capables de traiter les problèmes bloquants des entreprises et pouvant se déplacer sur site.

Il est également possible d’avoir un support complémentaire auprès des communautés :

  • Visitez les forums Microsoft
    Les communautés Microsoft fournissent l'opportunité d'intéragir avec des employés de Microsoft, des experts et des collègues dans le but de partager des connaissances et des nouveautés sur les produits Microsoft et les technologies relatives à ces produits
  • Obtenir des réponses sur les communautés Microsoft Answers
    Visitez les forums des communautés pour rechercher, parcourir, poster des questions et des réponses

Mozilla :

En terme de support, Mozilla s’appuie sur ces communautés au travers :

On est loin d’un support orienté Entreprise mais cela se comprend parfaitement car Mozilla n’est pas une entreprise mais une fondation ayant pour but de promouvoir un OpenWeb

Actuellement seules les branches 3.5.x et 3.6.x de Mozilla Firefox sont maintenues. Toute version antérieure de Firefox n’est plus supportée (dans le sens qu’il n’y a plus de correctifs fonctionnels ou de sécurité). La durée de vie des versions est donc plus limitée qu’Internet Explorer.

A titre d’exemple Firefox 3.0.x sorti le 17 juin 2008 n’est plus supporté depuis la dernière mise à jour (3.0.19) publiée le 30 mars 2010.

La Fondation Mozilla a annoncé récemment sa roadmap pour l'année 2001 (cf. https://wiki.mozilla.org/Firefox/Roadmap) dans laquelle il est annoncé que 4 versions de Firefox seront désormais publiées chaque année. Cela devrait avoir logiquement également un impact en terme de versions supportées

Informations complémentaires : http://support.mozilla.com/fr/home

Google :

Le cycle de vie de Google Chrome est d’une nouvelle version stable toutes les 6 semaines environ, ce rythme est donné par les équipes de développement de Chromium (la version “libre” de Google Chrome). Les correctifs (fonctionnels et de sécurité) ne concernent que la version stable en cours et non les versions antérieures.

Il n’y a pas de support entreprise de Google Chrome. Seuls les clients des services Cloud Google App peuvent disposer d’un support international en US (téléphonique ou via e-mail)

Le support grand public est similaire à celui de la fondation : il s’appuie sur des forums et la liste des bugs référencés est celle du projet Chromium

===========

Sécurité du navigateur

Sur la sécurité du navigateur, il est commun d'entendre tout et son contraire. Les afficionados du navigateur X ne seront jamais à cours d'arguments pour critiquer les navigateurs Y ou Z.

La seul chose sur laquelle tout le monde devrait être d'accord, c'est qu'il faut absolument utiliser un navigateur récent car ce sont les dernières générations qui disposent des mécanismes de sécurité les plus efficaces pour contrer les menaces venant du Web.

Ensuite, il est toujours possible de faire une liste exhaustive des différents mécanismes de tel ou tel navigateur sachant qu'au final, quand on compare ce qui est comparable (des navigateurs sortis dans une même période), les différences sont assez minimes.

Voici donc une liste (non exhaustive) de documents

-> Mécanismes de sécurité d'Internet Explorer 8.0

Présentation de la sécurité Internet Explorer 8.0
http://technet.microsoft.com/fr-fr/library/dd919181(WS.10).aspx

Note : Internet Explorer 8 est aujourd'hui le seul navigateur sous Windows Vista & Windows 7 à disposer d'un mécanisme appelé Mode Protégé qui limite l'utilisation des privilèges complets de l'utilisateur. Dans Windows Vista ou 7, l’exécution d’Internet Explorer 8 est isolée de celle des autres applications du système d’exploitation. Les utilisateurs doivent autoriser explicitement l’écriture dans un dossier au-delà du dossier <lecteur système>\Windows\Temp\Temporary Internet Files.

A Safer Online Experience
http://download.microsoft.com/download/A/6/7/A67974CC-84E7-4F62-B09E-5C575E1E7A3C/A%20Safer%20Online%20Experience%20FINAL.PDF

-> Mécanismes de sécurité de Firefox

http://www.mozilla.com/en-US/firefox/features/#security
http://www.mozilla.org/security/
http://blog.mozilla.com/security/

-> Mécanismes de sécurité de Google Chrome

http://www.google.com/support/chrome/bin/answer.py?hl=en&answer=95572
http://blog.chromium.org/2010/01/security-in-depth-new-security-features.html
http://www.google.com/support/chrome/bin/topic.py?hl=en&topic=14666

Parmi les mécanismes de protection, les filtres anti-phishing sont désormais une composante essentielle des navigateurs Web, j’ai détaillé les différentes approches retenues par les éditeurs dans l’article suivant:

Beaucoup de personnes argumentent (ou ont argumentées) que la sécurité d'un navigateur se mesure au nombre de vulnérabilités découvertes ou au nombre de bulletins de sécurité ou encore au nombre de failles non corrigées...

Même si c'est un indicateur, cela ne peut pas refléter de manière sûre la qualité de tel ou tel produit. En effet, la popularité d'un navigateur implique forcément un intérêt accru des chercheurs en sécurité (mais aussi de certains cybercriminels) qui vont investir plus de moyens pour essayer de découvrir la présence de vulnérabilités. Un navigateur utilisé par 1000 personnes peut donc apparaitre comme sans vulnérabilités connues si personne (à l'exception de ses développeurs) n'a passé du temps à l'étudier.

Tout logiciel peut avoir des vulnérabilités ou des erreurs dans son code car à l'origine de celui-ci, il y a un développeur qui reste avant tout un humain pouvant faire des erreurs.

Pour déterminer et comparer le nombre de vulnérabilités ou de bulletins de sécurité d'un navigateur, il est possible de se baser sur les informations présentées sur le site de l'éditeur.

Dans le cas de nos trois navigateurs, les informations sont aux adresses suivantes :

Internet Explorer : http://www.microsoft.com/technet/security/current.aspx (dans le menu déroulant, choisir la version d'IE concernée)

Mozilla Firefox : http://www.mozilla.org/security/known-vulnerabilities/

Google Chrome : http://www.google.com/search?hl=en&q=google+chrome+vulnerability+advisory+site%3Agoogle.com&aq=f&aqi=&aql=&oq=

ou encore le blog de l’équipe Chrome : http://googlechromereleases.blogspot.com/ (faire une recherche sur Security Fixes)

Reste que là encore, la méfiance vis à vis des éditeurs poussent de nombreuses personnes à argumenter que toutes les vulnérabilités ne sont pas déclarées officiellement par l'éditeur ou pas comptabilisées correctement. On entre ici dans un second débat qui est l'utilisation du nombre de vulnérabilités versus le nombre de bulletins de sécurité (un bulletin pouvant couvrir plusieurs vulnérabilités).

Pour être indépendant des données officielles de chaque éditeur, il est également possible d'utiliser les données fournies par des sociétés ou sites web indépendants qui gèrent eux-mêmes les vulnérabilités ou avis de sécurité. Parmi ces sites, un des plus complets est Secunia à partir duquel je vais extraire les données concernant nos trois navigateurs.

Note : certaines informations de Secunia peuvent et sont parfois contestées (par les éditeurs et/ou les experts en sécurité).

Télécharger cette image en qualité originale : http://farm6.static.flickr.com/5255/5514433313_e5ebdf9f84_o_d.png

Le graphique précédent (mise à jour à la date du 10 mars 2011) dans lequel les navigateurs sont classés par ordre chronologique (du plus ancien IE6 au plus récent IE9) permet très bien de voir qu’il ne faut vraiment pas comparer des navigateurs de générations différentes :-)

Dans le détail nous avons donc les informations suivantes (à la date du 10/03/2011)

Internet Explorer 6.0 (supporté par son éditeur) : http://secunia.com/advisories/product/11/?task=statistics
Sortie avec XP en octobre 2001 (XPSP2 = aout 2004)
150 Avis de sécurité de Secunia
227 Vulnérabilités
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=11

Firefox 1.x (n’est plus supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/4227/?task=statistics
Firefox 1.0.x sorti le 9 novembre 2004
45 Avis de sécurité de Secunia
209 Vulnérabilités

Internet Explorer 7.0 (supporté par son éditeur) : http://secunia.com/advisories/product/12366/?task=statistics
Sortie avec Vista le 19 octobre 2006 (même période que Firefox 2.0)
50 Avis de sécurité de Secunia
151 Vulnérabilités
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12366

Firefox 2.x (n’est plus supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/12434/?task=statistics
Firefox 2.0.0.x sorti le 24 octobre 2006
29 Avis de sécurité de Secunia
154 Vulnérabilités
graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=12434

Firefox 3.0.x (n’est plus supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/19089/?task=statistics
Firefox 3.0.0.x sorti le 17 juin 2008
24 Avis de sécurité de Secunia
161 Vulnérabilités
graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=19089

Internet Explorer 8.0 (supporté par son éditeur) : http://secunia.com/advisories/product/21625/?task=statistics
Sortie le 19 mars 2009
Sortie avec Windows 7 en aout 2009
19 Avis de sécurité de Secunia
78 Vulnérabilités
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=21625

Google Chrome 2.X (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/25469/
Sortie : 21 mai 2009
5 Avis de sécurité de Secunia
10 Vulnérabilités

Firefox 3.5.x (supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/25800/?task=statistics
Sortie Firefox 3.5.0.x le 30 juin 2009
18 Avis de sécurité de Secunia
146 Vulnérabilités
Graphe criticité : http://secunia.com/advisories/graph/?type=cri&period=all&prod=25800

Google Chrome 3.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur): http://secunia.com/advisories/product/25720/
Sortie : 15 septembre 2009
5 Avis de sécurité de Secunia
16 Vulnérabilités

Firefox 3.6.x (supporté par la Fondation Mozilla) : http://secunia.com/advisories/product/28698/
Sortie Firefox 3.6.x le 21 janvier 2010
12 Avis de sécurité de Secunia
96 Vulnérabilités

Google Chrome 4.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/28713/
Sortie : 25 janvier 2010
6 Avis de sécurité de Secunia
35 Vulnérabilités

Google Chrome 5.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/30134/
Sortie : 25 mai 2010
7 Avis de sécurité de Secunia
56 Vulnérabilités

Google Chrome 6.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/31928/
Sortie : 2 septembre 2010
3 Avis de sécurité de Secunia
20 Vulnérabilités

Google Chrome 7.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/32718/
Sortie : 20 octobre 2010
3 Avis de sécurité de Secunia
23 Vulnérabilités

Google Chrome 8.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/33215/
Sortie : 3 décembre 2010
3 Avis de sécurité de Secunia
25 Vulnérabilités

Google Chrome 9.x (ne semble plus supporté [plus de changement dans les bases Secunia] je cherche toujours le document de référence, à votre bon coeur) : http://secunia.com/advisories/product/34150/
Sortie : 3 février 2011
3 Avis de sécurité de Secunia
58 Vulnérabilités

Google Chrome 10.x (supporté par son éditeur) : http://secunia.com/advisories/product/34532/
Sortie : 9 mars 2011
0 Avis de sécurité de Secunia
0 Vulnérabilités

 

Note : Dans Secunia.com, les vulnérabilités de Google Chrome sont comptabilisées version par version et ne sont pas rétroactives (= comptées) pour les versions antérieures (ni corrigées d’ailleurs par Google car seule compte la version en cours). De même certaines personnes argumentent que le numéro de version de Chrome n’a pas d’importance (même si du point de vue marketing c’est l’inverse tant cela génère des articles dans la presse en ligne) car il est en perpétuelle évolution (rappel : L’équipe de développement de Chromium a annoncé la sortie d’une nouvelle version stable du navigateur toutes les 6 semaines afin d’être “plus agile”  cf. http://blog.chromium.org/2010/07/release-early-release-often.html. Les administrateurs système en entreprise qui ont encore de l’Internet Explorer 6 ou 7 dans leur parc apprécieront certainement) 

Du coup si on cumule les chiffres de Secunia pour les versions de Chrome à partir de Chrome 2 (qui est sorti peu après Internet Explorer 8 et Firefox 3.5), on obtient des chiffres “plus effrayants”. N’hésitez pas à me donner votre avis sur ce mode de calcul (via le formulaire de contact ici en évitant les commentaires relevant du trolesque :-)) si besoin.

Point complémentaire important à souligner en terme de sécurité, c’est la gestion des composants additionnels au navigateur tels que Acrobat Flash, Acrobat Reader, Apple Quicktime, Realtime…. Ces composants deviennent aujourd’hui une cible intéressante et un vecteur de menaces non négligeable pour les Systèmes d’Information. Si on se réfère au Rapport Microsoft sur les données de sécurité Volume 9 (juillet à décembre 2009), on constate à quel point les plug-ins aux navigateurs sont une cible de prédilection pour infecter les ordinateurs.

Note : Le rapport est téléchargeable en français ou en anglais à l'adresse suivante : http://www.microsoft.com/france/securite/sir.aspx

Adobe Acrobat 8.x : http://secunia.com/advisories/product/12256/
16 avis de sécurité de Secunia
198 vulnérabilités

Adobe Acrobat 9.x : http://secunia.com/advisories/product/20492/
14 avis de sécurité de Secunia
198 vulnérabilités

Adobe Acrobat X 10.x : http://secunia.com/advisories/product/33123/
1 avis de sécurité de Secunia
40 vulnérabilités

Acrobat Flash Player 9.x : http://secunia.com/advisories/product/11901/
13 avis de sécurité de Secunia
82 vulnérabilités

Acrobat Flash Player 10.x : http://secunia.com/advisories/product/20166/
10 avis de sécurité de Secunia
77 vulnérabilités

Il convient donc de traiter ces composants avec la même rigueur (voire plus encore) que le navigateur en terme de gestion des mises à jour.

A noter : concernant Adobe, la signature d'un accord avec Microsoft afin de mettre en oeuvre une collaboration plus efficace destinée à mieux protéger les utilisateurs contre les menaces en ligne

Microsoft, Adobe Collaborate to Protect Against Online Threats
http://www.microsoft.com/presspass/press/2010/jul10/07-28MSBlackhatPR.mspx

Et pour ceux qui n’ont pas (encore) lancé un chantier pour la gestion des mises à jours dans leur entreprise, je vous encourage quelques lectures sur le sujet :-)

Comprendre la gestion des mises à jour
http://technet.microsoft.com/fr-fr/updatemanagement/bb245735.aspx

De la difficulté de la gestion des mises à jour de sécurité
http://blogs.technet.com/b/pascals/archive/2007/11/16/de-la-difficult-de-la-gestion-des-mises-jour-de-s-curit.aspx

==================

Respect de la vie privée

Le respect de la vie privée concerne tout le monde même si ce sujet n’est pas perçu ou traité de la même façon selon les pays ou les cultures. Les sensibilités et attentes diffèrent donc entre la France, les Etats Unis, l’Allemagne, le Japon… Il est donc assez difficile d’avoir une approche contentant tout le monde.

Différentes approches ont été choisies par les éditeurs de navigateurs Web :

  • Tracking Protection List (TPL) dans Microsoft Internet Explorer 9
  • Do Not Track (DNT) dans Mozilla Firefox 4
  • Une extension (Keep My Opt-Outs) dans Google Chrome

Si le sujet vous intéresse, j’ai détaillé les 3 solutions dans l’article suivant : http://blogs.technet.com/b/stanislas/archive/2011/02/22/internet-explorer-9-et-les-m-233-canismes-de-protection-de-la-vie-priv-233-e.aspx

En décembre 2010, Microsoft a rendu le format disponible des TPL sous Creative Commons Attribution license ainsi que sous Microsoft Open Specification Promise les TPLs disponibles peuvent donc être utilisées par d’autres navigateurs et ne sont pas limitées à IE 9 (sous réserve bien entendu que les éditeurs des navigateurs tiers implémentent un mécanisme de type Do Not Track et parsent ces fichiers)

Depuis, le W3C (qui est le Consortium définissant les standards du Web) a contacté Microsoft pour définir comment ce format pourrait devenir un format standard du W3C. Depuis (le 24 février 2011), Microsoft a soumis une proposition de spécification au W3C

Informations complémentaires :

——————————

En conclusion, j’espère au travers de cet article vous avoir éclairé sur les différents points importants qu’il faut prendre en compte lors du choix d’un nouveau navigateur ou d’une nouvelle version d’un navigateur pour les postes de travail en entreprise à savoir :

  • Installation & Déploiement en entreprise
  • Sécurité du navigateur
  • Respect de la vie privée
  • Gestion des mises à jour
  • Gestion des autorités de certification interne / tierces
  • Support de l'authentification Windows Intégrée
  • Support des ActiveX

Je reste ouvert à tout commentaire (que vous pouvez m’envoyer via le formulaire disponible ici) permettant une évolution de ce document

- Stanislas Quastana -

Tags: support, supportabilité, Mozilla+Firefox, Firefox, Google+Chrome, Chrome, security, fixes, anti-phishing, privacy, respect+vie+privée