Pown2Own 2016 : le coup de grâce pour Firefox ?

David Feugey,
Firefox © Khoroshunova Olga - Shutterstock

Trop facile à pirater et ayant trop peu progressé sur le terrain de la sécurité, le butineur de Mozilla est boudé par les hackers. Un coup dur pour l’image de ce navigateur web.

Le concours de hacking Pown2Own, organisé dans le cadre de la conférence CanSecWest, ne prendra pas en compte cette année Firefox. Pourquoi ? « Nous voulons nous concentrer sur les navigateurs qui ont apporté des améliorations sérieuses sur le terrain de la sécurité au cours de l’année passée », explique Brian Gorenc, responsable Vulnerability Research chez HPE, dans les colonnes d’eWeek.

L’attaque peut sembler rude pour le navigateur web de la Fondation Mozilla, mais est malheureusement méritée. Firefox est en effet l’unique butineur, parmi les solutions majeures du secteur, à ne toujours pas proposer un bac à sable limitant les dégâts lors de l’exploitation d’une faille critique du logiciel. Mozilla n’a même pas d’excuse à donner ici, certains éditeurs tiers ayant réussi à ajouter un bac à sable à Firefox (en général via des techniques de virtualisation des applications).

Sur le terrain de la sécurité, Firefox semble adopter une stratégie d’un autre âge. Un peu comme Internet Explorer le faisait avant lui dans le secteur du respect des standards, ou Netscape sur celui de la stabilité.

Mozilla s’est perdu en chemin

La sécurité n’est malheureusement pas le seul domaine où Mozilla fait fausse route. Les performances du butineur restent à la traîne, avec l’absence du support multithread dans le moteur de rendu. Pire, les onglets ne tournent toujours pas dans des processus séparés. Maigre consolation, les premières retombées du projet Electrolysis sont prévues pour mi-2016. L’interface utilisateur et les onglets tourneront alors dans deux threads séparés.

Mais le plus gros défi auquel devra faire face la Fondation Mozilla est la défiance de son écosystème de partenaires et de sa communauté. Défiance liée à la multiplication des erreurs de parcours (parfois involontaires). Certains grands comptes (comme Peugeot en France), utilisaient XUL comme plate-forme applicative. Mozilla n’a pas su saisir l’occasion, préférant s’axer sur des logiciels exploitant des technologies web. C’est dommage, car l’organisation tenait là une alternative aux applications universelles de Microsoft.

En 2015, c’est l’abandon de Firefox OS qui a défrayé la chronique, laissant ainsi ChromeOS seul sur ce marché. Firefox OS sera maintenant réservé aux objets connectés… sauf les smartphones. Comprenne qui pourra.

Les projets abandonnés se multiplient

Il y a eu également le désengagement de la suite Internet SeaMonkey et plus récemment l’abandon annoncé de Thunderbird, laissant ainsi le champ libre à Outlook.

Toutes ces décisions vont dans un même sens : afin d’accélérer le développement de son butineur, que Mozilla sait en perte de vitesse d’un point de vue technologique, la Fondation lâche le plus de lest possible. Tellement parfois que nous nous retrouvons maintenant avec une version iOS de Firefox qui n’utilise même pas le moteur de rendu de Mozilla.

La Fondation promeut un Internet qui se veut libre et ouvert. Mais dans le même temps, elle y réduit sa présence, en abandonnant le terrain sur les terminaux mobiles ou sur le ‘legacy’ (Thunderbird, support des anciens OS, etc.).

À lire aussi :
Firefox : le support WebExtensions sera finalisé l’été prochain
Firefox 44 met les notifications et la sécurité à l’honneur
Quiz Silicon.fr – 10 questions sur Firefox OS

Crédit photo : © Khoroshunova Olga – Shutterstock