Une vulnérabilité critique dans Firefox : la fondation Mozilla n'est pas la seule à surfer sur le buzz firefox 3
Peut être ai-je lu un peu trop d’ouvrages traitant du grand complot judéo maçonnique mondial ourdi par les adorateurs de Cthulhu et que le Necronomicon n’est pas forcément un livre de chevet recommandable pour une personne normale. Je trouve cependant singulièrement frappant qu’une vulnérabilité de sécurité critique touchant Firefox 3 ET Firefox 2 ait fort opportunément été découverte, et publiée, moins de 5 heures après la release en grandes pompes de Firefox 3 et le début du Firefox Download Day.
Certes, sur un malentendu, ça peut marcher, mais vus la longueur du cycle de développement de Firefox, l’ouverture de son code à qui veut bien le lire, et le nombre considérable de bêta et de RC qui ont précédé la sortie du produit fini, on ne m’enlèvera pas de la tête que cette coïncidence est trop frappante pour être tout à fait honnête.
[edit]
Cela dit, j’aimerais aussi comprendre pourquoi la fondation Mozilla, mise au courant de la vulnérabilité a laissé se poursuivre le Firefox Download Day. À moins évidemment que le marketing soit devenu plus important que la sécurité des utilisateurs.
Commentaires
Trackbacks
Les trackbacks sont fermés pour cause de spam.
Passionné d'informatique depuis l'âge de six ans, je travaille en tant que responsable qualité chez blueKiwi Software, éditeur spécialiste des outils collaboratifs en entreprise. Ma double formation en sciences politiques et en informatique me permet de porter un regard particulier sur les problématiques abordées par mon poste.
Damien 16 minutes later:
J’te dis ouais.
Jean-Sébastien Mansart 16 minutes later:
Moui, et après on pourrait aussi dire que c’est l’équipe d’IE7 qui aurait dévoilé la vulnérabilité et là, ça serait vraiment du complot….
Mon coté optimiste me fait quand même penché pour de la coïncidence.
Cédric about 2 hours later:
Curieux en effet que cela arrive maintenant. Quant à la fondation Mozilla, si cela touche les versions 2 et 3, arrêter le téléchargement de la 3 ne change rien. Par contre j’espère qu’ils ont redirigés les équipes vers ce problème en priorité.
C’était ma crainte : que le buzz autour de FF3 fasse le lit d’un problème. Hack d’un serveur, faille, … et que tout le positif espéré se retourne contre FF.
jeff.keyser about 2 hours later:
Etonnant en effet. Je pense qu’il y a un peu des deux : le marketing qui dit de ne pas arreter le record alors qu’une faille horrible viens d’être découverte par hazard
Cédric 1 day later:
Sérieux, qu’est-ce qu’arrêter l’évènement aurait changé, puisque FF2 est également touché? Autant laisser faire le coup médiatique, et corriger rapidement pour les deux versions : à défaut de montrer que FF est parfait, cela montrera au moins que ses équipes sont réactives.
Frédéric de Villamil 2 days later:
@J-S : laisse moi deviner, dans les jeux de rôles, tu prends toujours un perso loyal {b|c}on ?
@Cédric1 : c’est vrai, autant encourager des millions de personnes télécharger un logiciel vérolé en connaissance de cause.
@Cédric2 : bonne idée. Maintenant transposon ça à du jambon à la lysteria dans un supermarché. Pendant une grosse promo, on apprend que le jambon est contaminé, mais surtout, on ne le retire pas. On rappellera simplement les lots contaminés une fois la vente terminée, ce qui montrera la réactivité de l’équipe du supermarché. Et pendant ce temps là, tu as des millions d’utilisateurs qui peuvent se faire rooter leur machine / chopper la lysteriose en toute tranquillité.
Cédric 3 days later:
Je pense simplement que FF3 n’augmente pas le risque
Si FF2 n’avait pas été sensible à la faille j’aurais été 100% d’accord avec toi. Ensuite de leur point de vue s’ils bloquent le d-day ils risquent d’avoir l’effet inverse à celui espéré, et de transformer le “on fait parler de FF” en “FF c’est plein de failles”. Ceci étant je n’ai toujours pas vu la correction et j’avoue que plus le temps passe et plus je me sens nerveux sur ce sujet.
Enfin, nerveux, ce n’est qu’un outil, je me frappe pas non plus pour cela.