FAQ fraîcheur navigateur

Les évaluations se répartissent de A à E.

A partir de C et au-delà, les utilisateurs peuvent alerter leur management et les équipes techniques sur le manque de considération pour le navigateur.

L’évaluation se base uniquement sur l’analyse du « User-Agent » envoyé par votre navigateur. Si, d’une façon ou d’une autre, cette valeur est modifiée, l’évaluation est faussée.

L’analyse n’est poussée que pour les navigateurs les plus courants car les navigateurs « alternatifs » ne proposent pas de documentation structurée pour un suivi de cette nature (la détection des publications des versions de Samsung Internet est déjà imparfaite).

Depuis quelques années, certains éditeurs ne communiquent plus dans User-Agent la version précise du navigateur. Par exemple, un site peu savoir que l’internaute utilise Firefox 68 mais pas qu’il utilise la version 68.0.3. Ce choix a été pesé pour éviter que des sites malveillants puissent trop facilement et précisément détecter des failles dans les navigateurs (en sachant par ailleurs, que Mozilla a produit une version 68.0.4 qui corrige des failles…).

L’intérêt de l’outil reste quand on constate que la population des navigateurs se répartit en deux grandes familles&nbp;: ceux qui sont maintenus à jour par des mécanismes automatiques (sauf exception, ceux-là ont la toute dernière version) et ceux qui sont mis à jour « à la main » (ceux-là ont parfois plusieurs années de retard).

Il faut généralement se rendre dans la boîte de dialogue « A propos », dans le menu d’aide. Est associé une vérification fine de la mise à jour.

Par construction, un navigateur est exposé à Internet, et exécute des instructions fournies par un site externe : code HTML, code CSS, code Javascript. Pour un cyber-attaquant, il est facile d’y glisser des données malicieuses. A moins de vouloir désactiver tout contenu dynamique pour ne garder qu’un sous-ensemble réduit de HTML statique, difficile à pervertir, il faut que ce logiciel soit au minimum sécurisé en mettant en œuvre des correctifs de toutes les failles connues.

Par ailleurs, le web continue de se développer. Les technologies de sécurité sont toujours suiveuses mais il est important de disposer des dernières : CSP3, WebCrypto, anti-CSRF par marquage des cookies pour ne citer quelques évolutions récentes.

Microsoft a arrêté le développement d’Internet Explorer (IE) depuis plus de 2015. Seules les failles criantes font l’objet de correction et IE ne met en œuvre aucun des dispositifs récents de sécurisation. Par ailleurs, le support de Windows 7 (sauf exception de contrat Entreprise) a pris fin en janvier 2020.

L’information transparaît dans le User-Agent et chez des acteurs dominants, la version du navigateur est liée à celle de OS : IE / Edge sur Windows, Safari sur iOS.

Dans le cas où et votre navigateur et votre OS ne sont plus supportés et que vous conservez ce terminal, il faut vraiment envisager soit de s’astreindre à n’utiliser que des sites bien connus (en saisissant leur adresse car les liens peuvent être trompeurs), soit utiliser des sécurisations réseaux (filtres DNS, proxy, etc.)

Windows 10 a un schéma de support complexe, même sans entrer dans les particularités des licences Entreprises. Chaque version est supportée 18 mois, mais une nouvelle version de Windows 10 est livrée tous les 6 mois, et un utilisateur ne peut pas « sauter » le déploiement d’une version. Donc un PC qui n’a pas subi d’upgrade depuis 15 mois par exemple, bénéficie encore des corrections (support de base) mais est en train de « vieillir » et il sera difficile pour une entreprise de rattraper le retard dans les 3 mois restants. L’évaluation essaie de traduire cette réalité complexe.

Les principaux navigateurs disposent tous d'un dispositif de mise à jour automatique.

S'il n'est pas fonctionnel ou désactivé et que vous n'avez pas les droits d'administation de votre machine, vous devez alerter le responsable informatique ou la DSI pour qu'elle règle ce point : avec les évolutions des éditeurs, ils n'ont pas toujours conscience du problème.