C'est un peu comme si Microsoft se mordait les doigts d'avoir publié son avis de sécurité dans lequel il concède qu'Internet Explorer a bel et bien servi de vecteur dans la cyberattaque venue de Chine qui a frappé Google et d'autres entreprises. Suite au tumulte soulevé par cette affaire, Microsoft souhaite souligner quelques éléments.

Et d'insister sur le fait de n'avoir constaté via la vulnérabilité dont souffre IE, qu'un nombre très limité d'attaques à l'encontre d'un petit sous-ensemble de sociétés. Ces attaques qui utilisent un code exploit rendu public, et par ailleurs déjà disponible sous la forme d'un plugin pour le Framework Metasploit, ne sont efficaces que contre la version 6 d'Internet Explorer.

Pour l'heure, aucune attaque contre IE7 ou IE8 ( versions également affectées par la vulnérabilité ), et selon Microsoft, cela tient au fait de l'amélioration des protections de sécurité dans ces versions, ainsi que dans Windows.

Microsoft qui travaille à l'élaboration d'un correctif, indique surveiller de très près l'évolution de la situation et recommande aux utilisateurs qui ont recours à IE6 ou même IE7, de passer à la version 8 dès que possible pour bénéficier des ses " améliorations de protections de sécurité ". Pour les utilisateurs de Windows XP SP2, outre IE8, l'activation de Data Execution Protection est recommandée ( c'est le cas par défaut avec le SP3 ).

Le CERTA ( Centre d'expertise de réponse et de traitement des attaques informatiques ) pour la France recommande lui l'utilisation d'un navigateur alternatif dans l'attente d'un correctif pour IE. Même son de cloche du côté de son homologue BSI pour l'Allemagne. Ces recommandations d'organismes agissant sous l'égide de l'État ne plaisent évidemment guère à Microsoft, et c'est sans doute l'une des raisons des quelques éclaircissements fournis.

Opter pour un autre navigateur n'est toutefois pas une recommandation franchement nouvelle du CERTA, qui le fait régulièrement lorsqu'un navigateur souffre d'une vulnérabilité critique non encore corrigée et exploitée. Et ce n'est pas toujours IE qu'il est préconisé de délaisser temporairement.