Les deux catégories de menaces principales auxquelles les internautes sont confrontés aujourd’hui sont, d’après Kaspersky Lab, l’hameçonnage et les SEM (socially engineered malware, logiciels malveillants par ingénierie sociale).
C’est pourquoi NSS Labs les a étudiés, et a publié ses conclusions dans son rapport WEB BROWSER SECURITY COMPARATIVE REPORT.
On notera que cette étude est indépendante, et que NSS Labs n’a reçu aucune compensation des vendeurs.
Hameçonnage
L’hameçonnage, ou phishing en anglais, consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc.
Le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter.
Des trois navigateurs étudiés, Microsoft Edge, Mozilla Firefox et Google Chrome, le navigateur de Microsoft est systématiquement meilleur.
C’est lui qui bloque le plus d’URLs d’hameçonnage : (cliquez sur les graphiques pour en obtenir une version agrandie)
C’est également lui qui offre la meilleure protection « zero-hour », la protection la plus critique, contre les nouvelles URLs d’hameçonnage:
À mesure que ces sites sont découverts, ils sont inclus dans la base de données de protection des différents services. Microsoft Edge est le meilleur à toutes les durées testées, notamment à deux jours et à sept jours.
Comme Google Chrome, Mozilla Firefox et Apple Safari utilisent la même interface de programmation, Safe Browsing API, on peut être sûr qu’il n’y aura que des différences minimales pour Safari.
NSS Labs s’est également intéressé au marché de l’éducation. Il conclut que Microsoft Edge sur Windows 10S est plus performant que Google Chrome sur Chrome Pixel :
SEM
Les logiciels malveillants par ingénierie sociale incluent l’hameçonnage, comme d’autres techniques qui reposent sur la confiance déplacée de l’utilisateur, en particulier l’envoi de liens, de pièces jointes ou d’images qui, une fois cliqué, téléchargent un logiciel malveillant.
Comme dans le cas de l’hameçonnage, les courriels ou les autres conteneurs malveillant, trompent l’utilisateur en prenant l’apparence d’un courriel ou d’un document officiel, provenant d’une entreprise ou d’une organisation connue.
Là encore, le navigateur web joue un rôle clé, car les liens et les téléchargements passent généralement par lui, sans compter toutes les personnes qui utilisent un client de messagerie dans le navigateur.
NSS Labs conclut que Microsoft Edge, Google Chrome et Mozilla Firefox ont exactement la même efficacité pour protéger contre les SEM : 99,7 %.
Du moins pour les ordinateurs dont le système d’exploitation est Windows 10 avec la mise à jour d’octobre 2017, ou plus récent.
C’est en effet à partir de cette version de Windows 10 que Microsoft a transformé Windows Defender SmartScreen Application Reputation, un service intégré à Microsoft Edge, en une fonctionnalité pour l’ensemble du système d’exploitation, qui profite à toutes les applications, y compris les navigateurs web concurrents.
Quand on désactive Windows Defender Smartscreen, on constate ainsi que l’efficacité de Google Chrome chute de 9,6 %, et celle de Mozilla Firefox de 19,5 %:
Il est de ce fait impératif de vérifier que Windows Defender SmartScreen est bien activé sur les ordinateurs et les tablettes, car c’est une surcouche de sécurité qui profite largement à ceux qui font l’impasse sur Microsoft Edge.
On regrettera en conséquence que, sur un nombre indéterminé de PC avec la dernière mise à jour majeure de Windows 10, Windows 10 October 2018 Update, Windows Defender SmartScreen utile en permanence une capacité exagérée de la capacité du processeur, parfois plus de 40 %, et l’on espère que Microsoft corrigera vite ce bogue.
Alors que Microsoft abandonne le Microsoft Edge actuel pour le reprogrammer à nouveau sur la base du socle Chromium, un chantier qui devrait durer un an, on espère qu’il conservera le leadership de la sécurité.