Un certain HD Moore, qui n'a rien à voir avec la fameuse loi éponyme, a décidé début juillet de publier un blog dans lequel il s'engage à divulguer une faille de sécurité relative à un navigateur Web par jour. Aucun système d'exploitation n'est épargné et tous les navigateurs les plus courants se font épingler. La palme revient pour l'instant à Internet Explorer 6 mais Firefox ou Safari ne sont pas en reste. Aujourd'hui, la sécurité est l'un des arguments marketing de prédilection des éditeurs de navigateurs.
Moore et quelques-uns de ses collègues ont mis au point plusieurs outils de détection de failles de sécurité qui reposent sur la technique du « fuzzing ». Le principe est simple : on envoie, manuellement ou automatiquement, une série de requêtes et de données plus ou moins aléatoires à une application afin d'en étudier le comportement dans une situation qui n'a pas été prévue par ses concepteurs. Dès qu'une anomalie est détectée, on retrouve les paramètres qui ont été utilisés pour la provoquer et on tente de comprendre l'éventuelle faille liée.
Après avoir passé au crible les principaux navigateurs du marché, le verdict est sans appel : « Nous pourrions probablement en révéler un par jour pendant les deux années et demi à venir avant de tomber à court de bugs », indique Moore. Histoire de donner un peu d'éclat à ses travaux et de sensibiliser encore un peu plus les éditeurs aux questions relatives à la sécurité, il décide donc de lancer un blog, ironiquement baptisé « Browser Fun », sur lequel il s'engage à publier, durant 31 jours, quelques unes des failles découvertes, accompagnées de la portion de code suffisante pour démontrer l'existence de la faille sans permettre l'exploitation malveillante de cette dernière.
Hier, 11 juillet, a par exemple été publiée la faille numéro 12, qui concerne Internet Explorer. Intitulé « Month of Browser Bugs », le projet de Moore peut être consulté sur le blog dédiée, Browser Fun.