Internet Explorer et les failles de sécurité

Cet article concerne le navigateur Internet Explorer jusqu’à sa version 9 (comprise), et reste valable si vous utilisez encore aujourd’hui l’une de ces versions. Cependant, reconnaissons que depuis des progrès ont été réalisés par Microsoft et qu’avec la version 10 et les suivants les critiques développées ici n’ont plus tout à fait lieu d’être. Plus tout à fait…

Internet Explorer n’est pas un navigateur fiable. Internet Explorer n’est pas un navigateur performant. Et depuis cet été, Internet Explorer n’est même plus un navigateur dominant. Il est temps que vous passiez à autre chose vous aussi, non ?

Les logos de Firefox, Chrome, Safari et Internet Explorer, habillés de bras et de jambes, se battent sur un écran d'ordinateur

« Opération Aurora »

Durant la seconde partie de l’année 2009, 34 entreprises, principalement américaines, ont été cyberattaquées par la Chine. L’attaque fut surnommée « Opération Aurora » (Wikipedia).

Début 2010, les gouvernements allemands, australiens et français (à travers le CERTA pour ce dernier), recommandent alors d’utiliser un autre navigateur Internet qu’IE (toutes versions confondues), et ce le temps que Microsoft comble la faille utilisée lors de ce piratage de grande ampleur (Vulnérabilité dans Microsoft Internet Explorer – bulletin d’alerte).

Zéro day pour Internet Explorer ?

Septembre 2012, on prend le même et on recommence. Une faille de type 0day est découverte dans Internet Explorer – « 0day » est un qualificatif qu’on applique aux attaques qui utilisent une vulnérabilité jusqu’ici inconnue des développeurs et donc contre laquelle les utilisateurs ne sont pas protégés, et on dit « zéro-day » car l’attaque commence alors que personne n’est encore au courant de la faille, qu’elle est largement diffusée sur Internet dans les « milieux concernés » et que des outils malveillants l’utilisant sont d’ores et déjà disponibles.

Sont concernées les versions 6 à 9 de IE, les systèmes d’exploitation de Windows XP SP3 à Seven – autant dire tous les utilisateurs d’IE (en savoir plus sur le protocole de l’attaque sur zataz.com).

La riposte Microsoft… ou pas

Pour palier au problème et en attendant qu’un correctif soit publié, Microsoft recommande de désactiver les scripts et les contrôles Active X de son navigateur, et d’installer sa boite à outils « EMET ». Certes… mais pour qu’une telle solution soit valable, il faudrait déjà :

  1. que les utilisateurs d’IE soient mis au courant de l’existence de la faille
  2. qu’ils sachent où trouver les options à désactiver
  3. qu’ils connaissent enfin l’existence d’EMET, qu’ils l’aient déjà installé et activé

Bref autant ne rien faire et prier pour que les pirates n’exploitent pas la faille… Comme si tout le monde était informaticien et passait ses soirées à lire les bulletins de sécurité de la firme de Richmond !

L’Europe prend à nouveau les devants

A nouveau, l’office fédéral de la sécurité des technologies de l’information allemand (BSI) et le CERTA français (bulletin d’actualité du 21 septembre 2012), certes avec un léger retard pour le second, vont à nouveau être plus radicaux et inviter les utilisateurs de leurs pays respectifs à, je cite, « changer de navigateur principal [et] déployer et maintenir à jour plusieurs navigateurs sur chaque poste ».

En d’autres termes, ils conseillent d’installer Firefox, Chrome, Opera et/ou Safari partout où c’est possible, et de ne plus se servir d’IE jusqu’à nouvel ordre (bulletin d’alerte du CERTA).

Liberté…

Alors soyons honnête, il n’y a pas plus, ni moins, de failles découvertes ou encore à découvrir dans IE que chez la concurrence. Non, le problème avec le logiciel de Microsoft c’est qu’il n’est pas foutu d’avertir ses utilisateurs quand il y a un souci, même majeur, pour leur sécurité. Microsoft, ou la boîte qui en a rien à cirer si vous êtes piraté.

C’est vrai que ça leur demanderait un effort surhumain de faire apparaître un panneau d’avertissement à l’ouverture d’IE et de renvoyer les internautes vers les outils nécessaires à leur protection (trousse à outils EMET), vers les conseils utiles à leur sécurité (blog Microsoft de sécurité)… Trop difficile aussi de coder un système de mise à jour automatique obligatoire qui se déclencherait lorsque la sécurité de milliards d’ordinateurs est en jeu.

…de choisir

Vous êtes libres. Internet Explorer n’est indispensable à personne, et la concurrence n’a plus rien à lui envier depuis des années. Chrome (installer) est aujourd’hui le navigateur le plus utilisé et a la préférence de ceux qui ne veulent pas se prendre la tête, Firefox (installer) est celui où va la préférence de ceux qui (comme moi) aiment customiser (personnaliser) leurs logiciels, tous deux sont des logiciels respectueux des standards du Web et toujours à la pointe des innovations – et gratuits et en français évidemment (pour en savoir plus : Classement des navigateurs Internet en août 2012).

Mais tous leurs concurrents ont aussi des avantages, et il y en a vraiment aujourd’hui pour tous les goûts et tous les types de machines. Pour vous aider à choisir, vous pouvez vous rendre entre autres sur le service international d’aide au choix d’un navigateur Internet : le Ballot Screen – Choisissez votre navigateur !

N’hésitez plus !

Maxime Mullet • L’Arpenteur de l’Infosphère

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *