Le responsable sécurité de Microsoft s'en encore fendu d'un rapport. Il constate que sur une période donnée, Firefox a eu plus de failles corrigées que IE7. Sa conclusion: IE7 est plus sûr que Firefox.

Comme le faisait remarquer un blogueur: « Si on soigne plus de dents aux Etats-Unis qu'en Afrique, est-ce que ça veut dire que l'état de la dentition des américains est moins bon que celui des africains ? ».

Pourquoi le comptage des bugs est une mauvaise manière de compter ? (J'en ai déjà parlé, mais peu importe):

• Comme le fait très justement remarquer le responsable sécurité Mozilla (et je vous le confirme pour avoir travaillé avec des gens de Microsoft), Microsoft recense des bugs en interne. C'est à dire que certains bugs sont trouvés par les équipes de Microsoft, recensés mais jamais rendus publiques. Les projets opensource ne se paient jamais ce luxe. Tous les bugs trouvés sont publiques. Trop facile de compter les bugs dans ces conditions.
  
  
• Le nombre de bugs ne compte pas tant que la durée pendant laquelle les utilisateurs sont exposés aux risques: Sur 2006, il y a eu 284 jours pendant lesquels IE avait des failles de sécurité critiques non corrigées.... et seulement 9 jours pour Firefox (et un seul jour pour Opera !).
  Entre un logiciel dangereux 284 jours par an, et un logiciel dangereux 9 jours par an, lequel est le plus sûr ?
  Regardez ce graphe, ça calme (Source: Mozilla)

Manque de bol, le responsable sécurité chez Mozilla a de la voix, et a bien rembarré le responsable Microsoft: « We’re not building fixes for our PR team, we’re building them for our users. » (On ne corrige pas les bugs pour notre département relations publiques, mais pour nos utilisateurs.). Dit autrement: Annoncer plein de bugs, c'est mauvais pour l'image de marque et ça ne plaît pas aux actionnaires. Mozilla s'intéresse plus aux utilisateurs qu'aux actionnaires.

Et paf... dans les dents.

Donc la prochaine fois que quelqu'un compare la sécurité des logiciels en comptant le nombre de bugs, expliquez-lui.